forum.lissyara.su

В качесте прокси-сервера стоит freeBSD с установленым SQUID.
Ведется учет трафика , кто, куда и сколько налазил.
Учет ведется по IP адресу.
Некоторые особо одаренные пользователи научились менять адреса.
Как сделать привязку МАС адреса сетевой карты к ее IP адресу, чтобы при смене адреса прекращался доступ в интернет?
(или как седелать учет по МАС адресу)

Создать arp таблицу со статическими MAC адресами.
И загружать её так:
arp -f /etc/ether

В файл /etc/ether помести всех пользователей интернета. Это удобно пока пользователей немного.

arpwatch для контроля смены MAC'ов

скоро одарённые пользователи научаться мак менять....
пароли всем - прое..ут - их проблемы...

Административные меры нужно ввести ха такие действия.

а как это все работает?

А что там делать то? Подумать никак?

1. Для всех пользователей интеренета создаёшь файл с соответствием IP=MAC
2. Выпускаешь в инет только те IP, кто есть в списке.

Если пользователь поменяет IP, то соответствия не будет и он в инет не выйдет.

1. Устанавливаешь arpwatch, он пришлёт кучу писем о внесении в базу всех IP=MAC
2. Если кто-то меняет IP, Он скажет что изменено соответствие с IP=MAC на IP2=MAC
3. Говоришь начальству или придумываешь глюки для этого пользователя. Типа сегодня инет 1 минуту у него работает, другую нет. (Ты легко отмажешься, сказав что он меняет сетевые параметры и ты тут ничего сделать не можешь, не ТЕЛЕПАТ) Административные меры нужны, а не твои слова, типа так не делай.

ОК
Сделал я таблицу соответствия МАС адрес -- IP адрес.
если IP адрес не соответствует заявленому МАС адресу то комп выход в интернет не получает?

А если этого соответствия нет, выход в интернет есть?
(хочу задать соответствие только для некоторых адресов, которые заданы статически и а не через DHCP)

tormozok писал(а):ОК
Сделал я таблицу соответствия МАС адрес -- IP адрес.
если IP адрес не соответствует заявленому МАС адресу то комп выход в интернет не получает?

Именно так

А если этого соответствия нет, выход в интернет есть?
(хочу задать соответствие только для некоторых адресов, которые заданы статически и а не через DHCP)

Тот же вопрос вроде?
Инет не будет работать только у компьютера где IP != MAC занесённые в файле.

отлично, спасибо.

А возможено сделать так чтобы в интернет получили выход только(!) те компы, чье МАС адреса есть в списке?

Ручками только всё равно придётся поработать.

Создаёшь таблицу в ipfw и заносишь туда ip-Адреса из файла /etc/ether
Когда правишь файл /etc/ether, правишь таблицу ipfw

Если это происходит крайне редко, скрипты не нужны.

может проще squid запаролить ?
тогда и IP не надо знать

kolesya писал(а):может проще squid запаролить ?
тогда и IP не надо знать

У меня squid прозрачный, авторизации не работают. :-)

обьясните? если это серьёзная контора, какого хё у пользователей прова админа? я за то чтобы у каждого пользователя вобще были права гостя!

ну гостя то ты уж слишком загнул!!! достаточно поставить права обычного пользователя!!! И никаких смен происходить не будет!! Чего народ так расслабили?? Это же дыра в безопасности и ещё какая!!! Обычный пользователь под админом, пусть и локальным!!! Я вообще даже генеральным такое по возможности не разрешаю, не говоря про обычных юзеров. Права админов даются только тем у кого стоят программы не работающие под обычным пользователем (например банк-клиент)!!!

ну незнаю.
у меня в сетке не один клиент не работает с правами админа, даже мой IT начальник.
я все порезал.
и теперь не знаю проблем.
а чтобы заставить различные проги работать, надо шаманить реестр в отношении веток и безопастности

ну ты хочешь сказать что у них у всех права гостя??? Сомневаюсь. Скорее всего обычного пользователя. Соглашусь. На счёт шаманства с реестром не знаю, не времени этим заниматься, банк клиент есть банк клиент, ладно это был бы один, но когда их 30-40, это малость поднадоест. Поэтому для таких пользователей проще дать админские права на локальном компе, тем более чаще всего эти пользователи сознательные, ничего плохого не делают (у меня по крайней мере). Остальным всем - правильно права урезать!!! ТОгда не нужно будет придумывать какие-то сложные действия, нужно искать простые решения, сложные буду порождать дополнительные сложности!!!! ПОэтому в данном случае я за урезку прав!!
Интересно бы послушать автора поста, почему он до сих пор этого не сделал!!
А решил мудрить привязку маков??? Можно ведь перебить (если чела нет на месте и комп выключен)и связку мас+IP, тогда весь этот огород не поможет!!!

я хочу сказать, что у них такие права и такой контроль что они мышкой лишний раз пошевелить не могут. "образно говоря"

NarkomanLove писал(а):я хочу сказать, что у них такие права и такой контроль что они мышкой лишний раз пошевелить не могут. "образно говоря"

За исключением принесённых ноутбуков. Или ты им на домашних компах тоже админа не даёшь?

dikens3 писал(а):

NarkomanLove писал(а):я хочу сказать, что у них такие права и такой контроль что они мышкой лишний раз пошевелить не могут. "образно говоря"

За исключением принесённых ноутбуков. Или ты им на домашних компах тоже админа не даёшь?

Не, наверное не разрешается приносить и уж тем более включать!!

Давать всем права "Гостя", это конечно крутовато.
Создай полность безопасную систему и ни кто не сможет в ней работать.

Интересно бы послушать автора поста, почему он до сих пор этого не сделал!!
А решил мудрить привязку маков??? Можно ведь перебить (если чела нет на месте и комп выключен)и связку мас+IP, тогда весь этот огород не поможет!!!

В конторе 40 компов, я туда приезжаю по мере надобности.
Ехать туда каждый раз из-за того что комуто не хватило прав не очень радует.
Всем пользователям раздал локальные права администратора.
На виндовый сервак они попадают через терминал с правами обычных пользователей, здесь все строго.
IP адреса выдаются DHCP сервером, с неограниченым сроком аренды (теоретически каждая сетевая карта получает свой IP адрес навсегда.)
Если ктото решит смостоятельно поменять адрес
arpwatch это засечет и пришлет на почту извещение.

На первый раз предупреждаю сам.
На второй.
Иду к руководству. Вопрос то административный.
Пусть что хотят с этим бедалагой делают.
Вот и все.

ну зачем же приезжать! можно и удалённо что надо поставить!!!!
Так и делаю!!!! Я же не совсем, чтобы весь Питер объезжать каждый день!!!!!, есть телефон уже достаточно!!!