Привет всем! проблема вот в чем:
решил привязать IP адреса юзверей к макам.
на сервере все без проблем, а вот у юзверей надоже прописать
arp -s ip_moy_server **-**-**-**-**-**
решил для этого написать bat-ник и вставить его в автозапуск так он ,гад, по циклу запускает команду!
(если из ком. строки запускать команду - все ок)
как это можно победить?? ведь arp запись живет до перезагрузки компа
Заранее благодарен
Люди ау! кто как добавляет стат. arp записи на компах юзверей??или все юзают PPPoE? :)
люди подскажите кто как добавляет стат. arp запись на компах юзверей??или все юзают PPPoE? :)
А ты на сервера пропиши
arp -s ip_server mac_server pub
и он будет у них заменятся...я так думаю.
А если не получится, у батника поменяй имя на слово которого нет в команде , в винде есть такой глюк
>Привет всем! проблема вот в чем:
>решил привязать IP адреса юзверей к макам.Зачем?
>на сервере все без проблем, а вот у юзверей надоже прописать
>arp -s ip_moy_server **-**-**-**-**-**
>решил для этого написать bat-ник и вставить его в автозапуск так он
>,гад, по циклу запускает команду!Я так понял - windows используем? не адресу тогда вопрос - на другой форум надо идти.
Какая версия винды и в какой автозапуск помещаем? Автозагрузка или через реестр?>(если из ком. строки запускать команду - все ок)
>как это можно победить?? ведь arp запись живет до перезагрузки компа
>Заранее благодарен
Тут был пост ipfw2 против подмены
Всякого рода VPN.
У тебя батник имеет какое имя? Оно не должно совпадать с именем системной команды
согласен с предыдущим оратором. ВПН - форева!
для домашних сетей, когда пользователю нельзя дать по рукам, это единственная возможность(про управляемые свичи разговор не идет) решить проблему идентификации юзера. если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема.если ты работаешь в организации, тогда надо принемать административные меры к нарушителям, т.е. бороться с причиной, а не со следствием.
удачи
Огромное спасибо всем откликнувшимся! отвечу сразу всем. на сервере FreeBsd поэтому вопрос в тему:) у юзверей ессно винды, причем от 95 до XP.
у бат-ника поменял имя: работает как надо.
ночью пришло решение прописать эту команду в autoexec. буду пробовать, хотя конечно в лом по всем клиентам бегать, и лучше-бы на сервере это сделать, но вряд-ли получиться.
VPN поднимать как-то пока неохота:) пока малой кровью попробую ограничиться.Полность согласен с Mranton
но я работаю админом в вузе, поэтому есть своя специфика - каждого студента и сотрудника на кафедре не отследишь:) да и нет пока такой задачи. Пара управляемых свичей есть, но на всю сеть их не напасешся(
А так защитимся от не очень продвинутых юзверей, и от ошибок тех. отдела:)Ходит шальная мысль перевести сеть на AD, пока думаю на чем:
Free & Win2003? (хотя такие вопросы на этом форуме задавать, самоубийцей надо быть :)) )
>буду пробовать, хотя конечно в лом по всем клиентам бегатьничего непонимаю... во первых нафига батники запускать у юзверей ?
во вторых если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник ?
>>буду пробовать, хотя конечно в лом по всем клиентам бегать
>
>ничего непонимаю... во первых нафига батники запускать у юзверей ?
>во вторых если это что то должно дать (в плане привязки MAC=IP),
>то что стоит юзверю снести этот батник ?
вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP- MAC рутера, то юзверь не видит его. т.о. они сами жизненно заинтересованы в сохранности настроек :)
>>>буду пробовать, хотя конечно в лом по всем клиентам бегать
>>
>>ничего непонимаю... во первых нафига батники запускать у юзверей ?
>>во вторых если это что то должно дать (в плане привязки MAC=IP),
>>то что стоит юзверю снести этот батник ?
>вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP-
>MAC рутера, то юзверь не видит его. т.о. они сами жизненно
>заинтересованы в сохранности настроек :)Это почему же он его не увидит, простите???
>Это почему же он его не увидит, простите???потому и не видит, что так задумано:)
Добавляем флаг -arp на интерфейс:
ifconfig fxp0 -arp
и в файле /etc/rc.conf:ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp"
Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида:192.168.1.2 00:80:23:5F:65:8C
192.168.2.3 00:5C:67:9A:55:5B
. . .Очищаем arp-кэш и загружаем статическую таблицу:
arp -ad
arp -f /etc/ether.localи добавляем последнюю команду в /etc/rc.local
Теперь на этом интерфейсе arp не работает вообще. То есть не только не принимаются обновления в arp-кэш, но и не отсылаются ответы на запросы arp who-has. А это значит, что и на клиентских машинах необходима статическая запись соответствия ip и MAC-адресов маршрутизатора !!!. На Windows-машинах это делается записью вида:
arp -s 192.168.1.1 00-79-36-FC-09-0Fпроблема была как раз в этом
мдя... а к чему все это ? если несекрет.
>мдя... а к чему все это ? если несекрет.
ты и тут свой нос засунул :)
доброе утро!
Если у тебя доменная структутра можно попробовать запускть файл при закгружке профиля на станции.
Для DSO:AutoExec.bat запускается до того, как инициализируется стек протоколов TCP/IP. А в W'ME/NT/2k AutoExec.bat вообще игнорируется.
Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые делает Samba в режиме контроллера домена. A Clockwork Orange правильно говорит.
Mranton:
> если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема.На этот случай д.б. привязка логина/пароля к MAC-адресу и IP-номеру - хоть какая-то защита. А ещё хорошо бы сегментировать сеть роутерами и привязать юзеров к сегменту - это уже не омается даже кражей паролей (только засланным к юзеру трояном-Proxy).
Grayich:
> если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник?Батник можно снести на своей машине, а на остальных-то он сохранится.
DSO:
> если на компе юзверя НЕ прописать соответствие IP-MAC рутера, то юзверь не видит его.
> т.о. они сами жизненно заинтересованы в сохранности настроек :)Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC рутера, но поменяв что-то другое.
>Привет всем! проблема вот в чем:
>решил привязать IP адреса юзверей к макам.
>на сервере все без проблем, а вот у юзверей надоже прописать
>arp -s ip_moy_server **-**-**-**-**-**
>решил для этого написать bat-ник и вставить его в автозапуск так он
>,гад, по циклу запускает команду!
>(если из ком. строки запускать команду - все ок)
>как это можно победить?? ведь arp запись живет до перезагрузки компа
>Заранее благодаренВариант DHCP с привязкой по MAC + ограничение групповых политик (запрет смены сетевых настроек) не прокатывает?
А зачем так сложно. Непроще-ли сделать так.
На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все. Ни батников, ни других извратов.
для Дмитрий Ю. Карпов:
с autoexec.bat не работает, попробовал уже (по крайней мере на Win2000)...
>Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые >делает Samba в режиме контроллера домена. A Clockwork Orange правильно >говорит.
у меня сеть без доменов. планируется возможный переход на доменную структуру.>Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC >рутера, но поменяв что-то другое.
никто и не говорит, что эта система надежна на 100% :) просто лучше чем ничего.для tangar:
>А зачем так сложно. Непроще-ли сделать так.
>На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах >выставить автоматическое получение адреса с DHCP-сервера и все. Ни >батников, ни других извратов.
оно реально будет работать или как вариант?у меня идет учет трафика по IP адресам, через сквида
DSO:
> у меня сеть без доменов. планируется возможный переход на доменную структуру.Если используется Windows, то лучше используй домен или Active Directory.
tangar:
> Непроще-ли сделать так. На сервере прописать соответствие MAC-адреса IP-адресу,
> а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все.
> Ни батников, ни других извратов.DSO:
> оно реально будет работать или как вариант?Вся твоя система построена на том, что юзеры лишены возможности администрять свои машины и не могут принести из дома ноутбук. Потому что иначе они и MAC-адрес поменяют.
DSO:
> у меня идет учет трафика по IP адресам, через сквидаТогда вводи парольную авторизацию каждого юзера на Squid на время его работы с WWW. Привязка к IP-номерам заведомо хуже.
А почему собственно она недолжна работать? Ведь DHCP для этого и сделан, насколько я знаю он может работать и без доменов, ведь это же не DNS-сервер, а простая раздача адресов.Такая система будет работать, при любой ОС, и при политике что юзера не могут менять IP-адреса, и как дополнение к этому при попытке вылести в инет юзер должен представиться.
Такой вариант работал у нас на домашней сети три года, в сетке было 10-12 машин, Потом поменяли провайдера, при установке радиоезернета провайдер организовал VPN с обязательной авторизацией, и другие защитные меры.
Здравствуйте
Я чего-то не понимаю что мешает пользователю менять свои настройки.
Захотелось ему сегодня попользовать интернет Дяди Вани, который на больничном - поменял попользовался и назад поменял. Удобно.
Помоему:
1)не надо считать и вязать ip - авторизовать надо
2)вариант Loky жизнеспособен, но не в данном случае, нету AD
3)VPN рулит