>>>Способ извратный, но стопроцентно помогающий. Настраиваешь
>>>IP-шники таким образом, чтоб весь
>>>трафик между тачками шел через
>>>роутер. На роутере ставишь ipchains
>>>или что-нето подобное (в зависимости
>>>от оси), настраиваешь чтобы все,
>>>что идет не с сервака/на
>>>сервак писалось в лог -
>>>и вперед. Заодно попутно выяснишь,
>>>как тачки между собой общаются
>>>- тож полезно иногда.
>>Это прикольный способ, грамотный, но помогающий
>>никак не на 100%, поскольку
>>может найтись кто-то добрый и
>>умный (я например ;), кто
>>подскажет юзерам откорректировать маршрутные таблицы
>>на своих компах таким образом,
>>чтобы включить друг друга в
>>прямую маршрутизацию. На виндах (блин,
>>кого я учу, вы и
>>сами небось знаете) это делается
>>вводом в строчку командную следующего:
>>
>>
>>route add friends_ip own_ip
>>
>>А на 100% (ну на 99
>>и очень много 9 после
>>запятой) проблема решается установкой _программно-аппаратного_
>>комплекса по ущемлению прав юзера
>>ковыряться в своей машине. На
>>память помню для виндов только
>>SecretNet (сорри если выглядит как
>>advertisement, надо же хоть что-то
>>посоветовать). Компы опечатать. За снятие
>>пломб можно и того... по
>>мозгам :)
>Безусловно - это самый лучший способ,
>и сам я стараюсь пользоваться
>именно им :о) но от
>него товарисч почему-то очень настойчиво
>отказывается. Впрочем, знаю не понаслышке
>- есть конторы в которых
>админа не очень-то уважают и
>наказать, скажем кого-нето из менеджеров
>по указке админа проблематично, а
>если оный менеджер и есть
>злостный проксиустановщик... В административной работе
>на практике объявляется такая куча
>проблем, далеких от теории и
>связанных с дивным русским стилем
>работы... Впрочем - так же
>как и в технической области.

тут в принципе согласна. хотя с установкой комплекса и наказывать-то никого не придется: просто все сотрудники будут видеть, что, дескать "так устроены компьютеры в фирме, что ничего с ними не сделаешь". вот такие компьютеры грамотные, почему нет...?

>Опять же - задача стоит
>- не пресечь, а обнаружить.
>Мне лично понравился метод, изложенный
>ниже - разделяй и властвуй.
>Разделить сеть на две подсети
>- для тех, кто может
>работать с инетом и для
>тех, кто не может. Если
>постараться, можно даже одной сетевухой
>обойтись - хотя с двумя
>надежнее, но могут возникнуть проблемы
>с СКС - особенно если
>сеть большая - не у
>всех шнурки собраны в одну
>кучу - я видел массу
>случаев когда в каждом подразделении
>висит свой хаб. Маршрутизацию зарубать
>опять же не обязательно -
>нужно только записать в лог
>все проходящие пакеты между воркстейшенами
>- а далее уже дело
>техники. А если будет маршрутизация
>- будет и MS network
>работать, главное в портах не
>запутаться.
Ну вот, начали за здравие, а кончили -- как всегда ;)
Если разделить сегменты на физическом уровне -- через маршрутизатор с двумя интерфейсами (пофиг, PC-router или традиционный) -- да, рулез, все будет вышше, я с вами тут на все 100 согласна. НО. Если разделять на сетевом (сети, подсети и всетакое) -- возникают ровно те же проблемы, что и были у нас. При включении прямой маршрутизации
(ARP работает -- и IP-пакеты забегают, куда денутся) пакеты между станциями напрямую ходить будут. А логи-то КТО писать будет??? Хаб? :) Коммутатор 2-го уровня? :) Нет, ну может в принципе наверное коммутатор 3-го уровня, но я таких свичей чтоб логи писали -- не видела. Разве что SNMP-управляемые, не знаю, не в курсе...