Добрый день!
Подскажите как сделать следующие действие.
У нас на предприятие локальная сеть статическая, выдано 130 айпи адресов. Но на днях заметил люди приносят свои ноутбуки в водить следующий за занятым и сидят в локальной сети предприятия. Я хотел бы ограничить порты шары чтобы не могли ходит по сетевым папкам.
Получается я сделал отдельный Address List добавил туда айпи адреса которые не используются. Вот только не работает, нужна помощь.
Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.
Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.
Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.
Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.
Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.
Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.
Да в одному коммутатору подключены и в одном порту.
Ну, раз в одном порту, то... "КинА не будет.."
Но... если посмотреть немножко в другую сторону.
Если сеть предприятия и 130 адресов, рискну предположить, что есть домен.
Рискну пойти дальше - контроллер(ы) домена,DNS, DHCP и т.п. присутствуют.
Что мешает в настройках учетной записи пользователя выставить разрешение "Log On To" и указать там только его рабочий ПК.
Соответственно, все "шары" в настройках доступа оставить только "Прошедшие проверку", а уже в безопасности выставлять необходимые разрешения.
Этим мы разрешим, например, Ивану Ивановичу доступ к ресурсу только с его рабочего ПК и не дадим доступа с его ноутбука, даже есть он введет туда свои учетные данные (сетевые имя и пароль).
Однако, это может навредить, если тот же Иван Иванович должен работать удаленно (командировка и т.п.)
Chupaka писал(а): ↑12 дек 2018, 12:47
Рискну предположить, что если адреса вбиваются статикой - ни о каком DHCP и прочем AD речи не идёт...
Есть dns, wins - сервера.
Доменнной сети нет.
Подскажите а как тогда можно контролировать не занятые статические ip адреса?
Может как то через проски поставить миркотик, далее сервер с прокси, а далее в лвс..
И создать список не занятых ip и дропать их...
Какие есть мысли....
Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.
Chupaka писал(а): ↑12 дек 2018, 13:20
Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.
Это я понял.
А как можно контролировать ip выданные и ip в резерве так скажем...
То есть человек пришел к примеру подключил пк, настроил себе сетевую карту пытается войти а там облом.
А DHCP поднять совсем не хотите? Он как раз для этого, и если машина говорит, что адрес занят - сервер, по идее, будет предлагать следующий из пула.
А при такой аппаратной базе на "а там облом" можно воздействовать только административными методами: находить и лишать премии, например Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой
Chupaka писал(а): ↑12 дек 2018, 13:51
А DHCP поднять совсем не хотите? Он как раз для этого, и если машина говорит, что адрес занят - сервер, по идее, будет предлагать следующий из пула.
А при такой аппаратной базе на "а там облом" можно воздействовать только административными методами: находить и лишать премии, например Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой
DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
pen07 писал(а): ↑12 дек 2018, 14:15
DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Им можно и статикой адрес прописать, и статическую запись в DHCP выделить, с фиксированным адресом - чего душа пожелает.
pen07 писал(а): ↑12 дек 2018, 14:15
Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
Можно в DHCP настроить выдачу адресов только известным MAC-адресам, добавлять новым запись после одобрения.
А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
pen07 писал(а): ↑12 дек 2018, 14:15
DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Им можно и статикой адрес прописать, и статическую запись в DHCP выделить, с фиксированным адресом - чего душа пожелает.
pen07 писал(а): ↑12 дек 2018, 14:15
Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
Можно в DHCP настроить выдачу адресов только известным MAC-адресам, добавлять новым запись после одобрения.
А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
Сделал сеть dhcp пере домной два пк один известный адрес другой нет, и по ip и hostname вижу в сети его и доступны сетевые ресурсы.
Может в настройках где то на косячил..
Chupaka писал(а): ↑12 дек 2018, 14:30
А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
Доступно будет. Не должно быть заморочек с использованием адресов, которые кто-то статикой нелегально прописал.
Сервер работает получает адреса.
Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Может в блоклист закидывать...
pen07 писал(а): ↑13 дек 2018, 16:31
Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Всё верно, в конфигурации указано: "address-pool=pool1" - это значит, что для адресов, не прописанных статикой в leases, адреса будут браться из данного пула. Если сделать address-pool=static-only - тогда будут выдаваться только адреса, вручную забитые в leases.
pen07 писал(а): ↑13 дек 2018, 16:31
Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Всё верно, в конфигурации указано: "address-pool=pool1" - это значит, что для адресов, не прописанных статикой в leases, адреса будут браться из данного пула. Если сделать address-pool=static-only - тогда будут выдаваться только адреса, вручную забитые в leases.
Можете на кидать конфигурацию пробную чтобы я мог на двух пк оттестить?
Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой