Архив форумов ЦИТФорума

[Dolinsk]

Здравствуйте.
Имеется сервер Win2003.
Через него происходит роутинг с локальной сети наружу.
Юзеры повадились самовольно менять IP.
Посоветуйте файрвол, чтобы внутренний интерфейс пропускал пакеты только если IP соответствует имени машины.
Машины не в домене. Компьютеры юзеров я не администрирую. И не дадут администрировать. Так что советы по поводу политик не принимаются.
Заранее спасибо за ответы.

[LL]

А просто аторизация не покатит? Чтоб конкретного юзера пускал а конкретного не пускал? Че за ОСи у юзверей? Ведь если юзверь может поменять IP то он может и имя компа сменить....или я чет не до конца понял?

[Dmitry.Karpov]

Это надо ставить все машины в домен. Плюс к тому советую запретить напрямую порты 20,21 (FTP) и 80 (HTTP) - пусть ходят через HTTP-Proxy.

А для начала зафиксируй всех по MAC-адресу сетевой карточки - утилита arp.exe (хотя MAC-адрес тоже можно сменить, но это уже сложнее).
_________________
Благословен Бог, сотворивший меня сисадмином!

[Dolinsk]

Спасибо за ответы.
Загнать в домен, пустить через прокси и т.д. эт все конечно логично...
Но мне надо сделать так, чтобы я их машины не трогал...пусть меняют у себя что хотят....внутренний интерфейс должен пропускать только пакеты согласно сабжу вопроса.

[and3008]

А позвольте узнать, как предполагается распознавать правильные компы от неправильных? По запаху? По IP + NetBIOS? IP уже менять научились. А NetBIOS - это протокол такой.
Ах вы про сетевое имя компа? И чего? И как вы собираетесь его унюхивать? И кто сказал, что его нельзя подменять?

Единственное правильное решение - Прокси+Авторизация. Авторизация ПОЛЬЗОВАТЕЛЕЙ, а не компов!!!

Все остальное от лукавого.

[Dolinsk]

Узнать имя по IP и наоборот довольно даже просто элементарной программой на бейсике....
Суть не в том, есть файрволы и там обычно настройки запрещают либо конкретный IP ли бо конкретное имя компьютера. Неужели нет файрволов, чтобы проверяли на соответствие?????

[and3008]

Хе-хе!
Наивный ты наш.
Эти FireWall-ы всегда проверяют IP.
Если админ указал имя компа, то FireWall запрашивает DNS-сервер и просит сообщить IP-адрес, соответствующий такому-то имени.
NetBIOS и DNS - вещи разные. Даже очень.
Попытка их подружить окончилась постепенным отказом от NetBIOS в каждой новой версии Windows.

Повторяю, что идешь не по той дороге. Гляди в корень проблеммы!
Даже если найдешь систему фильтрации, которая проверяет IP и NetBIOS-имя компа, то быстро найдутся умники, которые обойдут это ограничение. И прийдется делать так, как тебе сказали давным давно!

Ну неужели имеется желание пройти по полю граблей, несмотря на то, что указана правильная дорога?

[Dmitry.Karpov]

Вот во что я так и не въехал: что мешает человеку поменять и NetBIOS-имя машины вместе с IP-номером? Или вообще убрать с машины NetBIOS?

Есть такой путь - каждую минуту сканировать список машин (nmblookup из пакета Samba), проверять соответствие IP-номеров NetBIOS-именам машин и если что - запрещать. Если твоя машина будет WINS-сервером, то можно использовать WINS-скрипт, запускаемый по регистрации, продлению или отключении машины.

PS: Копай лучше в сторону привязки IP-нОмера к MAC-адресу сетевой карточки.
_________________
Благословен Бог, сотворивший меня сисадмином!

[and3008]

Ага. MAC изменить еще проще.

Авторизация. Только авторизация.
Тогда между руководством - админом - юзверем образуется прямая связь.
Руководство контролирует СОТРУДНИКОВ на основании учетных записей, созданных админом.
Если юзверь кому-то рассказал/утерял/продал/пропил свой пароль - это проблемма юзверя, а не админа. Пусть с такими юзверями разбирается руководство.
И не надо устраивать следствие в случаях очередной подмены того или иного параметра компа.

[Dolinsk]

Авторизация на сервере происходит.
Тогда я так понимаю мне надо сделать так чтобы авторизация допускалась с конкретных машин (необходимо с конкретных IP)
Но как?

[and3008]

У тебя какая прокся? Если ISA, то все довольно просто. Если что-то иное - скажи нам, подумаем может быть...

[Dolinsk]

Нет у меня прокси.
Просто все выходят через сервер на общюю проксю (которую я не администряю).

[Алекс]

[LL]

[Алекс]

[LL]

[and3008]

Класс!
Требовать порядка, и не дать никакой власти.

Если проксей верхего уровня ты не управляешь, то путей два:
1. Забить на это дело в принципе.
2. Поставить прокси у себя и издать корпоративный кодекс правил пользования сетью Интернет.

Интернет-трафик вещь оплачиваемая. Платит за него контора, т.е. это вещь является собственностью организации. Организация вправе смотреть на сколько эффективно используется это самое средство. Решение простое: Прокся+Авторизация+ведение логов+ежемесячный отчет начальству по трафику на каждого юзверя. Директор будет доволен. Начальство это всегда любит. Недовольных юзверей отсылать к вышеупомянутому кодексу. Пусть либо соблюдают, либо идут к начальству и вносят в него коррективы.
Админ - лицо контролирующее. Он должен соблюдать установленные правила. Если правил нет, то надо их либо издать, либо забить на всё, либо уволится, дабы не быть козлом отпущения в случае чего.

[Dolinsk]

И все юзера дружно ломанутся через мою проксю?
Они ж не дураки, быстро сообразят и вернут все как было....

[LL]

Элементарно, Ватсон , не надо паники.

Берешь и в своем фаерволе принудительно перенаправляешь все запросы на порты 3128, 80, 8080 на свою проксю.
Или просто напросто опять же в фаерволе берешь и запрещаешь доступ из локалки на любые адреса по выше указаным портам, а перед этим ставишь правило, что мол добро подключаться только на 192.168.1.1:3128, где данный адрес - это адрес твоей прокси. Естественно, это все имеет место быть, если юзвери не имеют доступ к фаерволу и проксе.