Архив форумов ЦИТФорума

[Stas_Dragon]

Есть шлюз FreeBSD 4.2 c установленым NAT и IPFW
ed0 смотрит в инет
xl0 смотрит в локальную сеть
в IPFW по умолчанию все закрыто, для каждой машины из локальной сети в фильтре прописано правило пропускающее его пакеты в интернет.
IP адресса в локалке у всех статика (DNS, DHCP в локалке нет). Можно ли запретить доступ в интернет если кто нить и пользователей локалки сменит Имя_Хоста на другое имя (то есть пипл сменил имя машины и не предупредил администратора то его пакеты в инет не должны проходить). Возможно ли такое организовать?, если да то подскажите пожалуста как

[crash]

а по IP открыть только тем кто имеет права ходить в инет прописать. тогда какая разница имени машины??

[Stas_Dragon]

Что бы пользователи без ведома администратора не меняли имя своей машины
P.S(кажды пользователь на своей машмне имеет права администратора)

[Dmitry.Karpov http://www.]

У каждой машины есть множество имен - доменное, нетбиосное и прочее. Какои имя надо запретить менять?

Через технологию IPFW это можно сделать только так: какая-то программа отслеживает изменения имен (через опрос или через оповещение), и если видит бардак, то меняет IPFW-правило с "можно" на "нефиг".

[Stas_Dragon]

Есть сеть с кучей компов, есть шлюз через который все выходят в инет надо просто если вдруг юзер сменил НЕТБИОСНОЕ имя что бы автоматом ему доступ в инет перекрывался. Ну типа отбить у людей охоту по несколько раз в неделю имя машины менять.

[Dmitry.Karpov http://www.]

Рекомендую попробовать такую технологию:
Ставим на сервер Самбу в режиме WINS-сервера, прописываем ее IP-адрес на всех клиентских машинах, в smb.conf делаем строчку типа
wins hook = /.../hook.pl
(можно на PErl или на любом другом языке, лежать программа может где угодно). Теперь при появлении машины в списке WINS и удалении ее оттуда будет вызываться этот скрипт. В Самбе же есть средства резолвинга NetBIOS-имен. Этот скрипт будет проверять что-то там и ежели не так - кирдык несчастному!
Другой вариант - средствами той же Самбы время от времени просматривать сеть на предмет соответствия NetBIOS-имен, IP-номеров и MAC-адресов, при обнаружении несоответствий пресекать и наказывать!

Но самое важное - необходимо применять материальные (или даже телесные) наказания хулиганящих сотркдников. Ну и разумеется, отобрать у всех административные правА!

[Stas_Dragon]

А если чел сотрет в настройке свойств сетевого окружения строчку про WINS то каюк всему маза работать не будет?
А что в hook.pl должно быть написано, хоть приблизительно какой алгоритм посылания?

[Dmitry.Karpov http://www.]

Список машин для отображения в "сетевом окружении" и преобразование имен в IP-адреса (рассматриваем случай только TCP/IP) может проводиться через DNS, WINS и MasterBrowser (это случайная машина, обмен данными ведется с непременным участием BroadCast-сообщений); порядок просмотра этих служб зависит от системы (W'3.x, W'95, W'98, W'ME, W'NT'3.5x, W'NT'4.0, W'2k, W'XP) и от настроек внутри системы, причем не в любой системе можно настроить нужный порядок просмотра. (Замечу, что некоторые службы разрешения имен в отдельных случаях могут вообще не опрашиваться, например, в гибридном режиме опрашиваются "сначала WINS. потом BroadCast", а DNS вообще не спрашивают.)

Однако тут остается малопонятное место: будет ли вызываться wins hook если машина регестрируется на Самбе не через WINS, а через BroadCast? На месте авторов Самбы я бы сделал автоматическую регистрацию в WINS и машин, регестрирующихся через BroadCast, но у них наверняка свои соображения по этому поводу... Впрочем, никто не мешает проверить это экспериментально и/или прочесть в документации.
Кстати, если Samba-WINS действительно регестрирует машины, сообщившие о себе через BroadCast, то Samba должна быть настроена так, чтобы непременно выиграть выборы мастер-обосревателя дабы иметь достоверную информацию. Я в этом особо не копался, смотреть надо параметры со словом "browser" и "os level" (вот только не помню, надо делать его большим или маленьким); ну и рекомендацию читать доки никто не отменял.

Но и если кто-то откажется регестрироваться в WINS, то всегда можно провести опрос мастер-браузера через nmblookup и если что не так - почикать.

"Чикающий" скрипт будет вызываться и параметрами:
операция имя_машины тип_данных время_жизни IP-адресА
Он должен проверить соответствие имени и адреса, после чего дать команды
ipfw запретить_на_хрен!

[Stas_Dragon]

Как я понимаю просто (типа прописать где нить на шлюзе файли соответсвия IP=host_name)мою проблему решить нельзя?