Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Alexander
Зарегистрирован: 10.12.2001 Сообщения: 211 Откуда: Санкт-Петербург
|
Добавлено: Вт Янв 27 2004 22:53 Заголовок сообщения: Можно ли юзеру подключённому к хабу не дать работать в сети? |
|
|
Я сисадмин сети ethernet: около 20 компов соединены 2 простыми свичами. стоит сервер-роутер на базе Линукс, онже мейл, прокси, dns, dhcp сервер, который помимо обслуживания нужд сети смотрит одним интерфейсом в Интернет и пускает туда тех кому это разрешено.
Пользователи сети студенты технических специальностей, так что в компьютерных вопросах весьма подкованы.
Существуют ли способы вырубить одного из пользователей, скажем, за нарушения правил пользования сети? При этом речь идёт не о физическом отключении от хаба, а можно ли это сделать программными способами?
Я думал не давать доступ к dhcp серверу, но ведь можно вручную узнать адрес сети и выбрать свободный номер...
Неужели единственный способ это ставить Самбу и домен NT? |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Янв 28 2004 11:59 Заголовок сообщения: |
|
|
А что, у тебя на 20 компов адреса раздаются через ДХЦП? А нужно ли? Если от этого отказаться, то при условии одновременной работы всех остальных компов, можно будет заблокировать определенные действия с конкретного АйПи-шника.
А вообще, что конкретно нужно запретить юзеру? Интернет, вообще все? Подробнее опиши проблему. Еще скажи, по какому принципу у тебя юзеры проксей пользуются, т.е. через авторизацию, по адресу...? _________________ Удачи! |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Ср Янв 28 2004 12:14 Заголовок сообщения: |
|
|
Зарезервируй за определенным mac адресом определнный ип адрес, и запрещай компу с этим ип все что угодно.
только не забудь указать что бы компы из диапазона который не обслуживается DHCP сервером, вообще что ли бо делали. |
|
Вернуться к началу |
|
|
LL
Зарегистрирован: 12.01.2004 Сообщения: 103 Откуда: S-Pb
|
Добавлено: Ср Янв 28 2004 14:19 Заголовок сообщения: |
|
|
SergeyK+ писал(а): | Зарезервируй за определенным mac адресом определнный ип адрес, и запрещай компу с этим ип все что угодно.
. |
Мак адрес тоже не долго сменить подковоному студенту.....
Как сказал Алекс, надо сначала узнать, нужно блакировать Инет или все..... |
|
Вернуться к началу |
|
|
Alexander
Зарегистрирован: 10.12.2001 Сообщения: 211 Откуда: Санкт-Петербург
|
Добавлено: Ср Янв 28 2004 16:25 Заголовок сообщения: |
|
|
С прокси сервером и Интернетом проблем вроде нет. Проблема в том, что бы ограничить возможность обмена пакетами с другими компами, например для игры в сетевые игры. У всех стоит ОС - Windows, насколько я знаю, если IP эта система не получит, то сеть не работает. Конечно и папки (зашаренные SMB ресурсы) тогда тоже не видно в сети.
Но, конечно, главное это не давать возможности играть в сетевые игры. К примеру в Quake.
P.S. По поводу dhcp - так казальсь просто удобней, хотя для пользы дела можно и вручную раздавать, но компы не всегда работают одновременно. |
|
Вернуться к началу |
|
|
FSerg
Зарегистрирован: 02.12.2003 Сообщения: 80 Откуда: Москва
|
Добавлено: Ср Янв 28 2004 20:38 Заголовок сообщения: |
|
|
Alexander писал(а): | Windows, насколько я знаю, если IP эта система не получит, то сеть не работает. |
За все не скажу. а 2000 и xp себе присваивают сами из сети... не помню.
Alexander писал(а): | Но, конечно, главное это не давать возможности играть в сетевые игры. К примеру в Quake. |
В старые добрые времена была,говорят, такая фишка - наловить сниффером трафика от дума, а потом запустить его обратно в сетку. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Чт Янв 29 2004 11:41 Заголовок сообщения: |
|
|
А что за ОСы на клиентах? _________________ Удачи! |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Чт Янв 29 2004 12:45 Заголовок сообщения: Re: Можно ли юзеру подключённому к хабу не дать работать в сети? |
|
|
1) Запиши наизусть, повесь на стену и повторяю утром и вечером: помешать общению (в т.ч. обмену игровыми пакетами) может только устройство, стоящее между обменивающимися. Это значит, что правила можно вводить либо на хабе (если на его место поставить суперинтеллектуальный роутер), либо на юзерских машинах (при этом если они смогут загрузить свою операционку, то твои усилия пойдут прахом).
2) Научись отличать "администрирование компов" и "администрирование юзеров". Использование _персональных_ компьютеров (это относится и к аппараной архитектуре, и к Windows, и в значительной степени к Unix) привело к тому, что у людей в головах образовалась жуткая каша. Реши сам, кого надо отсекать - машину или юзера.
3) Для начала настрой DHCP на выдачу каждой машине одного и того же IP-номера (привязка MAC->IP в dhcpd.conf). Затем пробей эту настройку в ARP с опцией public (для всех IP-номеров, возможных в сетИ - если како-то номер не используется, то пробей его несуществующим MAC-адресом). И если какой-то гад поставит себе чужой IP-номер без MAC-адреса, то ему будет трабла, а тебе - сообщения в логах.
4) Гони гадов пинками и заставь остальных тоже гонять их. Вывесь "расстрельный список", и если в классе обнаружится человек из списка, то выгоняй всех и закрывай класс на полчаса (называется "воспитание через коллектив").
PS: Ищу место, где мог бы читать курс "Сети и архитектуры ЭВМ". Подробности на http://prof.pi2.ru/teach _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пт Янв 30 2004 15:17 Заголовок сообщения: Re: Можно ли юзеру подключённому к хабу не дать работать в сети? |
|
|
Dmitry.Karpov писал(а): | ... |
Прошу прощения у ВСЕХ, что не в тему.
Дим, ты мое письмо по выделенке получил? _________________ Удачи! |
|
Вернуться к началу |
|
|
|