@bjjzpp

Шлюз в локальной сети?

обрый день!
Подскажите как можно реализовать следующие.
Имеется сеть без домена (рабочая группа), адреса в сети присваиваются статически, всего 130 ip-адресов.
Получилось так что люди без спроса подключились в локальную сеть, чисто методом подбора свободного ip получили доступ к локальным ресурсам.
Как это было посмотрели ip адрес на одном инженерском пк, название рабочей группы, далее ip адрес, маску и шлюз.
Подскажите как можно сделать следующее, не используемые адреса забить в бан-список и не давть доступа к портам 137,138,138,445 на протоколах tcp и udp...
Желательно на Linux системах.
Сделать сеть dhcp не вариант.
  • Вопрос задан
  • 1215 просмотров
Решения вопроса 2
anthtml
@anthtml
Системный администратор программист радиолюбитель
- 130 хостов в одноранговой сети - ну Вы даете, при 50ти уже целесообразно вланить, иначе хорошо если 70% вашего гигабита это udp-штормы.
- Сеть обязательно резать как минимум на: административную, производственную, серверную. Можно имеющимся микротом если встянет по производительности, если нет - докупить еще пару.
- Шары на >20 клиентов только парольные иначе задолбетесь искать кто где нагадил.
- IP в DHCP, DHCP в MAC и на тех же микротах в iptables, там это одна из стандартных функций.
- В производственной сети зарезать все кроме нужных ресурсов, все шары только на серверах.
Ответ написан
@Tabletko
никого не трогаю, починяю примус
Что бы защититься от такого изнутри сети нужно сетевое оборудование поддеживающее 802.1x. Запрет неиспользуемых адресов не защитит вас от того что кто то может взять себе разрешённый адрес .
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 6
@cssman
у вас там хаб чтоль?
правильней всего разделить "инженерскую" сеть и пользовательскую по l2 вланами и(или) коммутацией.
если стоит задача "банить" - то "банить" нужно на чём то - сервер, либо на сетевом оборудовании написать правильные разрешающие правила, а остальное запретить.
Ответ написан
Комментировать
Adamos
@Adamos
iptables, DROP все входящие из того диапазона, который вы считаете нелегитимным.
Только вам это не поможет.
Никто не мешает "людям" занять используемый IP раньше "законного" владельца, например.
Ответ написан
Комментировать
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Компы внутри одного широковещательного домена, общаются "мимо" шлюза.
Если хотите дать доступ к компам только определённым IP то вам придётся на каждом компе настроить фаервол с белым списком и переодически так бегать.

Ваша проблема, решается с помощью управляемых свитчей, ещё можно с помощью биты.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Получилось так что люди без спроса подключились в локальную сеть
А сторож и охрана куда смотрит? Левые люди ходят по территории предприятия и свободно подключаются к коммуникациям?

получили доступ к локальным ресурсам.
А имя пользователя и пароль они откуда узнали?

Сделать сеть dhcp не вариант.
А почему не вариант? Вроде самый удобный способ, неужели еще кто-то руками прописывает?
Ответ написан
fdroid
@fdroid
press any key
Гуглить "управляемый коммутатор L2 port security".
Ответ написан
Комментировать
@bjjzpp Автор вопроса
ммм, ну как левые это сотрудники предприятия, которые обычные кочегары. пришли со своей железкой посмотрели настройки сети и пошло поехало.
Управляемый роутер у меня микротик, в него приходит 3провера и с него идет провод идет на свичи.
Почему не dhcp начальника добро не дает на него, причины хз типа когда то что то не пошло.
802.1x оборудование это какое к примеру? - в данный момент стоят tp-link не управляемые свичи современные т.к., сетка 1гб/с.
Хабы раньше были все убрал.
Домена нет, только рабочая группа.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы