форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Защита от смены IP"
Сообщение от DSO on 03-Ноя-04, 15:31  (MSK)
Привет всем! проблема вот в чем: решил привязать IP адреса юзверей к макам. на сервере все без проблем, а вот у юзверей надоже прописать arp -s ip_moy_server **-**-**-**-**-** решил для этого написать bat-ник и вставить его в автозапуск так он ,гад, по циклу запускает команду! (если из ком. строки запускать команду - все ок) как это можно победить?? ведь arp запись живет до перезагрузки компа Заранее благодарен
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Защита от смены IP"
Сообщение от DSO on 03-Ноя-04, 16:02  (MSK)
Люди ау! кто как добавляет стат. arp записи на компах юзверей?? или все юзают PPPoE? :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Защита от смены IP"
Сообщение от DSO on 03-Ноя-04, 16:13  (MSK)
люди   подскажите кто как добавляет стат. arp запись на компах юзверей?? или все юзают PPPoE? :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Защита от смены IP"
	Сообщение от Friker (ok) on 03-Ноя-04, 16:31  (MSK)
	А ты на сервера пропиши arp -s ip_server mac_server pub и он будет у них заменятся...я так думаю. А если не получится, у батника поменяй имя на слово которого нет в команде , в винде есть такой глюк
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Защита от смены IP"
Сообщение от z3f on 03-Ноя-04, 16:25  (MSK)
>Привет всем! проблема вот в чем: >решил привязать IP адреса юзверей к макам. Зачем? >на сервере все без проблем, а вот у юзверей надоже прописать >arp -s ip_moy_server **-**-**-**-**-** >решил для этого написать bat-ник и вставить его в автозапуск так он >,гад, по циклу запускает команду! Я так понял - windows используем? не адресу тогда вопрос - на другой форум надо идти. Какая версия винды и в какой автозапуск помещаем? Автозагрузка или через реестр? >(если из ком. строки запускать команду - все ок) >как это можно победить?? ведь arp запись живет до перезагрузки компа >Заранее благодарен
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Защита от смены IP"
	Сообщение от A Clockwork Orange on 03-Ноя-04, 16:30  (MSK)
	Тут был пост ipfw2 против подмены Всякого рода VPN. У тебя батник имеет какое имя? Оно не должно совпадать с именем системной команды
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Защита от смены IP"
	Сообщение от Mranton (??) on 03-Ноя-04, 18:40  (MSK)
	согласен с предыдущим оратором. ВПН - форева! для домашних сетей, когда пользователю нельзя дать по рукам, это единственная возможность(про управляемые свичи разговор не идет) решить проблему идентификации юзера. если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема. если ты работаешь в организации, тогда надо принемать административные меры к нарушителям, т.е. бороться с причиной, а не со следствием. удачи
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Защита от смены IP"
	Сообщение от DSO on 04-Ноя-04, 08:39  (MSK)
	Огромное спасибо всем откликнувшимся! отвечу сразу всем. на сервере FreeBsd поэтому вопрос в тему:) у юзверей ессно винды, причем от 95 до XP. у бат-ника поменял имя: работает как надо. ночью пришло решение прописать эту команду в autoexec. буду пробовать, хотя конечно в лом по всем клиентам бегать, и лучше-бы на сервере это сделать, но вряд-ли получиться. VPN поднимать как-то пока неохота:) пока малой кровью попробую ограничиться. Полность согласен с Mranton но я работаю админом в вузе, поэтому есть своя специфика - каждого студента и сотрудника на кафедре не отследишь:) да и нет пока такой задачи. Пара управляемых свичей есть, но на всю сеть их не напасешся( А так защитимся от не очень продвинутых юзверей, и от ошибок тех. отдела:) Ходит шальная мысль перевести сеть на AD, пока думаю на чем: Free & Win2003? (хотя такие вопросы на этом форуме задавать, самоубийцей надо быть :)) )
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Защита от смены IP"
	Сообщение от Grayich (??) on 04-Ноя-04, 09:06  (MSK)
	>буду пробовать, хотя конечно в лом по всем клиентам бегать ничего непонимаю...  во первых нафига батники запускать у юзверей ? во вторых если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Защита от смены IP"
	Сообщение от DSO on 04-Ноя-04, 09:37  (MSK)
	>>буду пробовать, хотя конечно в лом по всем клиентам бегать > >ничего непонимаю...  во первых нафига батники запускать у юзверей ? >во вторых если это что то должно дать (в плане привязки MAC=IP), >то что стоит юзверю снести этот батник ? вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP- MAC рутера, то юзверь не видит его. т.о. они сами жизненно заинтересованы в сохранности настроек :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Защита от смены IP"
	Сообщение от Xela (ok) on 04-Ноя-04, 09:49  (MSK)
	>>>буду пробовать, хотя конечно в лом по всем клиентам бегать >> >>ничего непонимаю...  во первых нафига батники запускать у юзверей ? >>во вторых если это что то должно дать (в плане привязки MAC=IP), >>то что стоит юзверю снести этот батник ? >вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP- >MAC рутера, то юзверь не видит его. т.о. они сами жизненно >заинтересованы в сохранности настроек :) Это почему же он его не увидит, простите???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Защита от смены IP"
	Сообщение от DSO on 04-Ноя-04, 10:39  (MSK)
	>Это почему же он его не увидит, простите??? потому и не видит, что так задумано:) Добавляем флаг -arp на интерфейс: ifconfig fxp0 -arp и в файле /etc/rc.conf: ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp" Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида: 192.168.1.2    00:80:23:5F:65:8C 192.168.2.3    00:5C:67:9A:55:5B . . . Очищаем arp-кэш и загружаем статическую таблицу: arp -ad arp -f /etc/ether.local и добавляем последнюю команду в /etc/rc.local Теперь на этом интерфейсе arp не работает вообще. То есть не только не принимаются обновления в arp-кэш, но и не отсылаются ответы на запросы arp who-has. А это значит, что и на клиентских машинах необходима статическая запись соответствия ip и MAC-адресов маршрутизатора !!!. На Windows-машинах это делается записью вида: arp -s 192.168.1.1 00-79-36-FC-09-0F проблема была как раз в этом
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Защита от смены IP"
	Сообщение от Grayich (ok) on 04-Ноя-04, 10:47  (MSK)
	мдя...  а к чему все это ? если несекрет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Защита от смены IP"
	Сообщение от Friker (ok) on 04-Ноя-04, 10:55  (MSK)
	>мдя...  а к чему все это ? если несекрет. ты и тут свой нос засунул :) доброе утро!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Защита от смены IP"
	Сообщение от A Clockwork Orange on 04-Ноя-04, 11:59  (MSK)
	Если у тебя доменная структутра можно попробовать запускть файл при закгружке профиля на станции.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Защита от смены IP"
	Сообщение от Дмитрий Ю. Карпов on 04-Ноя-04, 20:03  (MSK)
	Для DSO: AutoExec.bat запускается до того, как инициализируется стек протоколов TCP/IP. А в W'ME/NT/2k AutoExec.bat вообще игнорируется. Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые делает Samba в режиме контроллера домена. A Clockwork Orange правильно говорит. Mranton: > если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема. На этот случай д.б. привязка логина/пароля к MAC-адресу и IP-номеру - хоть какая-то защита. А ещё хорошо бы сегментировать сеть роутерами и привязать юзеров к сегменту - это уже не омается даже кражей паролей (только засланным к юзеру трояном-Proxy). Grayich: > если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник? Батник можно снести на своей машине, а на остальных-то он сохранится. DSO: > если на компе юзверя НЕ прописать соответствие IP-MAC рутера, то юзверь не видит его. > т.о. они сами жизненно заинтересованы в сохранности настроек :) Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC рутера, но поменяв что-то другое.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Защита от смены IP"
Сообщение от Loky on 04-Ноя-04, 17:03  (MSK)
>Привет всем! проблема вот в чем: >решил привязать IP адреса юзверей к макам. >на сервере все без проблем, а вот у юзверей надоже прописать >arp -s ip_moy_server **-**-**-**-**-** >решил для этого написать bat-ник и вставить его в автозапуск так он >,гад, по циклу запускает команду! >(если из ком. строки запускать команду - все ок) >как это можно победить?? ведь arp запись живет до перезагрузки компа >Заранее благодарен Вариант DHCP с привязкой по MAC + ограничение групповых политик (запрет смены сетевых настроек) не прокатывает?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Защита от смены IP"
Сообщение от tangar (??) on 04-Ноя-04, 23:56  (MSK)
А зачем так сложно. Непроще-ли сделать так. На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все. Ни батников, ни других извратов.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Защита от смены IP"
	Сообщение от DSO on 05-Ноя-04, 15:03  (MSK)
	для Дмитрий Ю. Карпов: с autoexec.bat не работает, попробовал уже (по крайней мере на Win2000)... >Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые >делает Samba в режиме контроллера домена. A Clockwork Orange правильно >говорит. у меня сеть без доменов. планируется возможный переход на доменную структуру. >Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC >рутера, но поменяв что-то другое. никто и не говорит, что эта система надежна на 100% :) просто лучше чем ничего. для tangar: >А зачем так сложно. Непроще-ли сделать так. >На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах >выставить автоматическое получение адреса с DHCP-сервера и все. Ни >батников, ни других извратов. оно реально будет работать или как вариант? у меня идет учет трафика по IP адресам, через сквида
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Защита от смены IP"
	Сообщение от Дмитрий Ю. Карпов on 05-Ноя-04, 15:59  (MSK)
	DSO: > у меня сеть без доменов. планируется возможный переход на доменную структуру. Если используется Windows, то лучше используй домен или Active Directory. tangar: > Непроще-ли сделать так. На сервере прописать соответствие MAC-адреса IP-адресу, > а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все. > Ни батников, ни других извратов. DSO: > оно реально будет работать или как вариант? Вся твоя система построена на том, что юзеры лишены возможности администрять свои машины и не могут принести из дома ноутбук. Потому что иначе они и MAC-адрес поменяют. DSO: > у меня идет учет трафика по IP адресам, через сквида Тогда вводи парольную авторизацию каждого юзера на Squid на время его работы с WWW. Привязка к IP-номерам заведомо хуже.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Защита от смены IP"
	Сообщение от tangar (??) on 09-Ноя-04, 08:08  (MSK)
	А почему собственно она недолжна работать? Ведь DHCP для этого и сделан, насколько я знаю он может работать и без доменов, ведь это же не DNS-сервер, а простая раздача адресов.     Такая система будет работать, при любой ОС, и при политике что юзера не могут менять IP-адреса, и как дополнение к этому при попытке вылести в инет юзер должен представиться.     Такой вариант работал у нас на домашней сети три года, в сетке было 10-12 машин, Потом поменяли провайдера, при установке радиоезернета провайдер организовал VPN с обязательной авторизацией, и другие защитные меры.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Защита от смены IP"
	Сообщение от Agp (??) on 09-Ноя-04, 13:36  (MSK)
	Здравствуйте Я чего-то не понимаю что мешает пользователю менять свои настройки. Захотелось ему сегодня попользовать интернет Дяди Вани, который на больничном - поменял попользовался и назад поменял. Удобно. Помоему: 1)не надо считать и вязать ip - авторизовать надо 2)вариант Loky жизнеспособен, но не в данном случае, нету AD 3)VPN рулит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.