Запрет настроек LAN

[Jan]

День добрый.
Или не выспался, или просто туплю.
Есть сервак с правильной осью, на котором поднят DHCP от ISC - привязка IP к MAC.
Клиенты сидят под XP получают IP динамиком.
Вопрос:
Как запретить им вручную вбивать тот же IP в настройки LAN?
Через GroupPolicy в AD уже сделано, но есть машинки, кот не не в AD?
Помнится встречалась что-то в конманде ifconfig прописанной в /etc/rc.conf на самом сервере?
что, при вводе вручную IP на стороне клиента выдавало, что данный IP уже используется.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Jan]

Во, вспомнил )))
Добавляем флаг -arp на интерфейс:

Код: Выделить всё

ifconfig fxp0 -arp

и в файле /etc/rc.conf:

Код: Выделить всё

ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp"

Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида:

Код: Выделить всё

192.168.1.2    00:80:23:5F:65:8C
192.168.2.3    00:5C:67:9A:55:5B
. . .

Очищаем arp-кэш и загружаем статическую таблицу:

Код: Выделить всё

arp -ad
arp -f /etc/ether.local

и добавляем последнюю команду в /etc/rc.local

[---nebo---]

Как запретить им вручную вбивать тот же IP в настройки LAN?

описаным выше способ вы не запретите вбивать тот же адрес вручную, вы просто создали статическую таблицу ARP.

[armadex]

День добрый.
Или не выспался, или просто туплю.
Есть сервак с правильной осью, на котором поднят DHCP от ISC - привязка IP к MAC.
Клиенты сидят под XP получают IP динамиком.
Вопрос:
Как запретить им вручную вбивать тот же IP в настройки LAN?
Через GroupPolicy в AD уже сделано, но есть машинки, кот не не в AD?
Помнится встречалась что-то в конманде ifconfig прописанной в /etc/rc.conf на самом сервере?
что, при вводе вручную IP на стороне клиента выдавало, что данный IP уже используется.

Код: Выделить всё

/usr/ports/security/ipguard

и +1го sh скрипта будет достаточно! сравнивать время окончания аренды в dhcp.leases с текущим ip/mac юзера , можно извратится вплоть до хранения всего этого добра в БД, а в статике как у вас еще проще...

[opt1k]

одни костыли, там где достаточно здоровых ног...
на стороне сервера фряхи полностью это никак не отконтролировать, а вот на стороне клиента достаточно забрать у пользователя права администратора(что настоятельно рекомендую вам сделать) и он НЕ сможет менять сетевые настройки и не только.

[Jan]

одни костыли, там где достаточно здоровых ног...
на стороне сервера фряхи полностью это никак не отконтролировать, а вот на стороне клиента достаточно забрать у пользователя права администратора(что настоятельно рекомендую вам сделать) и он НЕ сможет менять сетевые настройки и не только.

Согласен, что так проще. Но это невозможно: так исторически сложилось, что большинство пользователей должны у себя устанавливать сами программы итд. , а не звать для установки той же Visual Studio админа )))) В AD прописано в полиси запрет на данное изменение, но есть машинки, кот. не включены в домен.
Спасибо, буду ковырять в сторону

Код: Выделить всё

/usr/ports/security/ipguard

[buryanov]

Через GroupPolicy в AD уже сделано, но есть машинки, кот не не в AD?

ручками на каждой машине можете запретить через локальные политики, правдо прийдётся побегать, или сделайте пользователей не админами на машинах