Ejik88 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Windows 2000 Server На сервере 2 сетвевухи (инет(ADSL) и хаб). Клиенты получают инет от сервера. IP реальные, разные, поэтому NAT'а нету. Стоит Kerio WinRoute Firewall 5, выполняющий функции DHCP, фаервола и логирования. Есть люди, которые не должны пользоваться инетом (ихние IP вырубаю через фаервол). Но есть такие, которые вручную ставят себе IP, на которых работает инет. Что делать с такими людьми? В винротовсском фаерволе нет приявзки по MAC . Не предлагать: 1. Sygate Personal Firewall 2. Linux   Заранее благодарен! Всего записей: 635 | Зарегистр. 13-09-2002 | Отправлено: 20:59 24-10-2003

oriano Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Посмотри UserGate, имеется привязка к MAC (http://rus.consultitnow.com/usergate.shtml). Последнюю версию + ключ можно взять тут: http://usergate.by.ru Всего записей: 70 | Зарегистр. 11-06-2002 | Отправлено: 21:20 24-10-2003 | Исправлено: oriano, 21:26 24-10-2003

Ejik88 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору мне не нужна прокся, она очень неудобна нужно чтобы напрямую юзеры ходили Всего записей: 635 | Зарегистр. 13-09-2002 | Отправлено: 06:52 25-10-2003

lek Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору только что попробовал создать статическую запись ARP в win2k - работает. arp -s <ip-address> <mac-address>. видимо тебе нужно написать батник, запускаемый при загрузке сервера со всеми парами мак-айпи. однако это не спасёт от смены одновременно мака и айпи, зато спасёт от этого умный свитч. Всего записей: 230 | Зарегистр. 28-12-2002 | Отправлено: 14:24 25-10-2003

polux Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору связка ip+mac для разграничения пользователей не подходит, т.к. mac можно поменять так же как и ip. Проще всего для решения этой задачи использовать vpn. Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 06:53 27-10-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ejik88 Может я немного не понял вопроса, но я сдела у себя так: у меня запущен на сервере DHCP, а для инета на др. машине стоит WinRoute и вот кому-то надо дать ине, а кому-то не надо , так я просто в Доступе прокси поставил - *.* и все обломались за инет, потом просто прописывал разрешения для каждого юзера. Если хочешь через пакетный фильтр, то в W2K есть привязка IP к MaC - там привяжи, а затем в проксе прописывай. Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 09:59 27-10-2003

polux Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok Цитата: Да ради бога - пусть меняют (считаем, что операционка не nt-based или все юзеры админы своих машин).  Задаешь жестко условие "такому mac - такой ip", любые другие сочетания просто отрубаешь. У меня так.     одновременно можно поменять и mac, и ip, в результате у нас получится связка ip+mac удовлетворяющая вашему условию, и что тогда будете делать?   Как отличать пользователей в такой ситуации?   vworld еще раз повторяю связка ip+mac это не панацея. Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 11:44 27-10-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору polux Было сказано, что смену MAC-IP адресов можно запретить политиками домена.   Однако... Все зависит от квалификации юзеров, если это контора программистов - наверняк через такое решето как политики NT-based систем пролезут и поменяють... ---------- -= Я тут чертовски давно =- Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 12:26 27-10-2003

Ejik88 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Давайте забудем что можно меня MAC Как сказал Sadok: Цитата: "такому mac - такой ip", любые другие сочетания просто отрубаешь нужно сделать это!, чтобы если не свопадает MAC сетевухи с IP, чтобы этот юзер не имел доступ к серверу или инету Всего записей: 635 | Зарегистр. 13-09-2002 | Отправлено: 13:25 27-10-2003

polux Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD   Цитата: Было сказано, что смену MAC-IP адресов можно запретить политиками домена.   Однако... Все зависит от квалификации юзеров, если это контора программистов - наверняк через такое решето как политики NT-based систем пролезут и поменяють...     так почему бы сразу не отказаться от дырявых решений и не выбрать 100% рабочее? Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 13:52 27-10-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору polux Согласен. И согласен что рабочее - это PPP over Ethernet или VPN. Можно так же юзать прокси с авторизацией (типа Gatekeeper + WinGate) ---------- -= Я тут чертовски давно =- Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 14:23 27-10-2003

polux Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok   Цитата: Получим конфликт ip-адресов, просто напросто...     ну и что? В определенной ситуации можно будет работать даже при таком раскладе. Еще можно дождаться пока машина с интересующим нас ip не уйдет в down.   Да и вообще тут спорить не о чем, т.к. на сегодняшний день единственным 100% решением этой проблемы является vpn. Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 15:08 27-10-2003

bu536 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok конфликта не будет. один из юзеров будет юзать инет а у второго ничего не будет Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 15:12 27-10-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору polux и прокси с авторизацией ---------- -= Я тут чертовски давно =- Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 16:00 27-10-2003

polux Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: и прокси с авторизацией     угу, только через прокси не пустишь весь tcp/ip трафик. Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 18:20 27-10-2003

ViKor Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   похоже что прокси с авторизацией  это единственный способ рещения проблемы     а для тех кому нужен НАТ и кто пользуется KWF есть способ, тоже с авторизацией....   можно в правилах давать доступ не IP а именам пользователей и для авторизации заходить на  http:\\10.3.0.1:4080 вводишь логин пароль и НАТ работает   (10.3.0.1 - IP компа с KWF)               ---------- теХком Всего записей: 503 | Зарегистр. 16-03-2003 | Отправлено: 16:35 28-10-2003

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Привязка IP к MAC для запрета доступа к инету

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование