Блокировать по MAC-адресу

[Abyrvalg]

Всем привет!

Есть старая, страшная сеть. Никаких никаких управляемых коммутаторов, никакого L2. Только хабы.
Есть сервачок Windows Server 2003. Никаких доменов, просто проброс интернета, раздача IP-адресов и прочая мелочь.
В сети завёлся один урод, который донимает запросами сервер. Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки. Поскольку сеть неуправляемая, вычислить урода проблематично.

Внимание, вопрос. Можно ли на уровне сетевого адаптера заблокировать все пакеты, исходящие от определённого MAC-адреса? Я хочу сделать так, чтобы сетевые пакеты от этого конкретного урода вообще не доходили до сервисов Windows Server 2003, а рубились прямо при поступлении в сетевуху.
Если можно, то как это сделать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ADRE]

можно, убрать нат, поставить прокси.
на уровне адаптера можно штекер вытащить из rj-45, пакеты как рукой снимит. просто потыкай попеременно проводки. если интенсивность меньше станет, значит нашел чудилу. а не проще ли воткнуть какой дешовый девайс, оставить дута шейпер и ограничение на пакеты и всё.

[Abyrvalg]

Вытаскивать шнурки не получится, потому как сетка раскинулась на три здания, и машин там не менее полутора сотен.

[rayder]

полторы сотни и все на хабах, ужаснах 0_0!!!
что, даже колец еще никто не делал?

по факту, пропишите статик арп на винде на левый ип и она перестанет отвечать уроду.
только это вас не сильно спасет, а учитывая что ваш "урод" занимается подменой айпишек, то и подменить мак ему не составит труда.
Вам не защищаться надо а искать урода и и фаервол правильно настроить.

[Abyrvalg]

полторы сотни и все на хабах, ужаснах 0_0!!!

Именно. Ну, есть и свитчи, но всё одно неуправляемые.

что, даже колец еще никто не делал?

Кажется, нет.

по факту, пропишите статик арп на винде на левый ип и она перестанет отвечать уроду.

Пробовал прописать 0.0.0.0, но не сильно помогло. Попробую на какой-нибудь другой, более реальный.

только это вас не сильно спасет, а учитывая что ваш "урод" занимается подменой айпишек, то и подменить мак ему не составит труда.

Урод - скорее всего, какая-то донельзя кривая софтина. Так что вряд ли.

Вам не защищаться надо а искать урода и и фаервол правильно настроить.

Кстати, как настроить простой Виндовый файрволл?

[dekloper]

Кстати, как настроить простой Виндовый файрволл?

просто
снести к хе*ам венду вместе с ее с*аным фае*волом
и настроить нормальную ОСь

[liet]

если кого-то интересует мое мнение - лучше отловить и дать 220 в эзернет.
почему?
потому что этот гандон будет и дальше портить всем жизнь перебором айпишек.
банальная ситуация. он пытается подобрать айпишку с инетом. его не пускает. ну и фиг с ним. но он то берет айпишки попорядку. и у честных пользователей постоянно вылазит сообщение "конфликт айпи-адресов в сети".
чем это грозит?
недовольство остальных зверьков. ХП в свое время теряла сеть в таких случаях. что происходит в 7ке - как-то не удосужился проверить.
чем еще это грозит?
гомосексуалист прокачает свой скил и начнет менять мак-адреса. в таком случае спасет только статик-арп на роутере. но мы опять таки вернемся к состоянию перебора айпишек.

насчет кривой софтины.
если сеть предприятия - возможно. может еще и какая-то сетевуха сама по себе. были случаи, когда сетевухи засырали таблицу маков коммутаторов.
если домосетка - врядли. домашние пользователи не ставят столь специфичный софт в 99.9% случаев.

на тему винодового файрвола - хз. попробуй найти в сети бинарники atguard он достаточно удобен был в этом плане для 2003/XP.

[ADRE]

[рекомендовано присесть на мужской половой орган] засунуть всех на dlink 32хх и по макам въебать привязку, а лучше заставить жестко получать ip по dhcp иначе - [рекомендовано присесть на мужской половой орган] гасить линк. пусть дрочит. и еще на серванте мониторит подмены мака. и если мак сменился, валить подключение навсегда.

[MAGNet]

сдается мне, что есть один выход - найти гада и придавить!
а вообще, так бывает, когда нет АД и все юзеры сидят с админскими правами
первое правило - у пользователя не может быть админских прав по определению!!

[Toptyg]

у нас помню сетевуха сдурела и меняла мак-получала адреса(за ПК сидела преподаватель, может она что-то подцепила конечно но это на системно-хардварном уровне определили мы) и много раз - пока адреса не закончились и срок аренды не вышел

через команду arp -a можно маки посмотреть, пингануть того кто адрес не тот взял.


Лучше смотреть в сторону TMG.

[ADRE]

Волшебство. мне кажется.

[slb51]

Я не пойму, так тяжко что ли домен поднять? И самую простенькую проксю, чтобы узнать, откуда ноги растут. Можно, конечно, из себя вывернутся, но найти корень зла имеющимися средствами (типа, из принципа), но, вообще-то, разумнее немножко потрудиться и построить нормальную систему безопасности.
А что касается 150 машин, так это не очень много, надо только не бегать по этажам, а через Radmin работать, а лучше через DMWare, она и устанавливается на юзерский комп удалённо при первой же попытке подключения. И как это вышло, что у юзеров есть какие-то права? Первая заповедь админа: "Обрубить юзеру руки по самые яйца".

[blildinires]

..редко.. можно сказать, это исключение