Типа accesslist по MAC-адресам в ХР?

Set A 26.10.2007 - 16:01

" Ну вот теперь и я знаю конфу..." 😊

В смысле нам на работе подключили инет - кинули конец на HUB нашей локалки, перенастроили TCP | IP , установили параметры proxy - просто живи и радуйся...
Однако теперь я вижу штук 5 подсетей нашего корпуса, а они соотв - мою сеть 😞

КАК ЗАЩИТИТЬСЯ? !!!!

Что приходит в голову - что-то типа ACCess листа по MACадресам...Поскольку сеть внутренняя, небольшая - я могу это узнать... А какой софт мне обеспечит подобное? Или есть другой способ? (Win XP Pro)

С уважением...

badydoc 26.10.2007 - 17:37

1.поставить не Хаб, а свич поновее и в нем уже настроить правила кто и
куда может ходить и что смотреть.
2. на своей машине поставить любой фаервол (аутпост например или зоне-аларм) и настроить его как удобно.
3. поковырять встроенный в ХР брандмауер, но честно говоря я этого никогда не делал. Хотя старики рассказывали, что таки там можно что-то настроить 😊

cap2 26.10.2007 - 17:38

рутер ставить надо....

badydoc 26.10.2007 - 17:43

капыч, а раскажи мне как лоху чем роутер от свича отличается 😊 А то я честно не знаю, вот хаб и свич знаю. Роутер нифига не знаю 😊 А ведь еще какие-то точки доступа и прочие страшные железяки есть (циски там какие-то)

cap2 26.10.2007 - 17:44

badydoc
1.поставить не Хаб, а свич поновее и в нем уже настроить правила кто и
куда может ходить и что смотреть.
2. на своей машине поставить любой фаервол (аутпост например или зоне-аларм) и настроить его как удобно.
3. поковырять встроенный в ХР брандмауер, но честно говоря я этого никогда не делал. Хотя старики рассказывали, что таки там можно что-то настроить

а про бубен забыл? 😊

Андрюх! а зачем настраивать каждый комп, если можно настроить одну железяку?

Set A 26.10.2007 - 17:50

Железо новое никто не даст 😞 😞 😞
Так что могу только "програмно"...

Файрвол на каждой ставить?
Что такое "бубен" ?

Сорри - я в сетях только разбираюсь...

С уважением...

badydoc 26.10.2007 - 17:57

Set A
Железо новое никто не даст 😞 😞 😞
Так что могу только "програмно"...

Щаз роутер стоит копейки (тыщи 3000р за достаточно приличный) и пробем больше не будет. Так что я бы этот вариант пробовал в первую очередь.

Set A
Файрвол на каждой ставить?
Что такое "бубен" ?

Да, на каждую машину. Соответсвенно гемор будет если что-то в сети меняется, все машины перенастраивать. И сам фаервол обычно денег стоит (если не пиратский конечно)

Set A
Что такое "бубен" ?
Сорри - я в сетях только разбираюсь...
С уважением...

Бубен - ну это херня такая. настраиваешь всё по науке - не работает. Начинаешь шаманить, а шаманы с бубнами были 😊 Вот оттуда и выражение. Означет что-то типа того: "пошаманил и заработало, но как я это сделал - х.з."
Спрашивайте, не стесняйтесь, чем сможем - поможем. Все когда-то начинали с нуля 😊
С уважением 😊

D!m@n 26.10.2007 - 18:01

badydoc
капыч, а раскажи мне как лоху чем роутер от свича отличается 😊 А то я честно не знаю, вот хаб и свич знаю. Роутер нифига не знаю 😊 А ведь еще какие-то точки доступа и прочие страшные железяки есть (циски там какие-то)

badydoc шутит? 😊

cap2 26.10.2007 - 18:02

ИМХО решение данной проблемы программно - криво получится....

бубен - это такая штука, которой пользуются шаманы, что бы отогнать злых духов, а сисадмины - что бы "винда не глючила".... 😊

badydoc 26.10.2007 - 18:08

D!m@n
badydoc шутит? 😊

неа 😊 реально путаюсь свич/роутер и прочие умные слова 😊 Бадя же институтов специальных не кончал, сам во всё вникал как мог. посему спрашивать меня что такого сеть класса А или стек протокола ТСP/IP бесполезно. Как и про принципиальную схему северного моста в пентиум4. А вот с бубном бегать - это я могу 😊

cap2 26.10.2007 - 18:14

D!m@n
badydoc шутит?

типа того... 😛

D!m@n 26.10.2007 - 18:16

badydoc
неа 😊 реально путаюсь свич/роутер и прочие умные слова 😊 Бадя же институтов специальных не кончал, сам во всё вникал как мог. посему спрашивать меня что такого сеть класса А или стек протокола ТСP/IP бесполезно. Как и про принципиальную схему северного моста в пентиум4. А вот с бубном бегать - это я могу 😊

Нет, так просто ты меня не проведешь 😊 😊

badydoc 26.10.2007 - 18:35

я честен как никогда 😛

DisPetcher 26.10.2007 - 18:48

надо поставить циску каталист...

Set A 26.10.2007 - 18:51

Мне не настолько хорошо платят, чтобы я за свои покупал 😞 а поскольку гос. предприятие - купить по другому =0% 😞 , так что и остается ... Боюсь пока даже бубен не поможет

badydoc 26.10.2007 - 18:53

DisPetcher
надо поставить циску каталист...

дорогая она зараза

badydoc 26.10.2007 - 18:56

Set A
Мне не настолько хорошо платят, чтобы я за свои покупал 😞 а поскольку гос. предприятие - купить по другому =0% 😞 , так что и остается ... Боюсь пока даже бубен не поможет

тогда программые фаерволы пробуйте. Аутпост (Outpost) например.

Walkman 26.10.2007 - 18:57

Вот за глаза хватит. http://www.fcenter.ru/products.shtml?eshop/act=h:a:0:63:a:a:288:0:a:1:30:r:1:1&oper=61280::::

Цена вопроса 1000 рублей. Там же можно D-LINK купить. Тот вобще 715 стоит.
Внутри него есть свой файрволл и даже DHCP сервер. Разом убьешь всех зайцев.

GeorgeM 26.10.2007 - 22:51

Бади, роутер - это железка, которая может роутить пакеты между разными подсетками. Свитчи же этого не умеут.

Впрочем слышал другую версию: роутер - это железка которая может PPP, PPoE или прочие протоколы точка-точка (т.е. "дозвониться" и авторизоваться)
%-)))

msdn 27.10.2007 - 10:47

Купить за ~800р. роутер Dlink DI-604.

Walkman 27.10.2007 - 22:20

GeorgeM
...
Впрочем слышал другую версию: роутер - это железка которая может PPP, PPoE или прочие протоколы точка-точка (т.е. "дозвониться" и авторизоваться)
%-)))

Еще некоторые умеют VPN, плюс держать DMZ зону, плюс Wi-Fi встроенный как с добрым утром, плюс учет траффика и посылка алармов хош по емайлу, хош на айпи. И все за 2000 рублей. Я про TrendNet. Которые за 2000 рублей. Сиски думаю еще могут и минет админу сделать. Удаленно. 😛

GeorgeM 28.10.2007 - 01:45

ну, дмз и дэлинки 604 держат. Да и вообще любой роутер. Иначе нафиг он нужен. Мэйлить логи тоже. %-)

Тренднеты не юзал, у нас в основном зухи 334(хорошие железки начального уровня, но не под все задачи годятся), дэлинки DI-604, 804, DFL-*(кстати неплохие железки), планеты, асуси WL-* (у них, кстати, свои бальшущие грабли присутствуют) и чуток цысок.

...А вот цыски не все одинаково полезны, у дешовых пиксов - грабли с разъёмом питания, вечно плохой контакт, от этого то вечный ребут то просто временами отпадают, задрали уже. 800тые летом часто висли, ща похолоднее стало, так вроде очухались. Так что насчёт минета не знаю, но мозги они мне потрахали изрядно, хоть и не админ. %-))

msdn 28.10.2007 - 12:14

Если всё же не хотите брать роутер, то вот вам, извращайтесь:

C:\Documents and Settings\Administrator>arp /?

Displays and modifies the IP-to-Physical address translation tables used by
address resolution protocol (ARP).

ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]

-a Displays current ARP entries by interrogating the current
protocol data. If inet_addr is specified, the IP and Physical
addresses for only the specified computer are displayed. If
more than one network interface uses ARP, entries for each ARP
table are displayed.
-g Same as -a.
inet_addr Specifies an internet address.
-N if_addr Displays the ARP entries for the network interface specified
by if_addr.
-d Deletes the host specified by inet_addr. inet_addr may be
wildcarded with * to delete all hosts.
-s Adds the host and associates the Internet address inet_addr
with the Physical address eth_addr. The Physical address is
given as 6 hexadecimal bytes separated by hyphens. The entry
is permanent.
eth_addr Specifies a physical address.
if_addr If present, this specifies the Internet address of the
interface whose address translation table should be modified.
If not present, the first applicable interface will be used.
Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static entry.
> arp -a .... Displays the arp table.

То есть вам надо arp -s ip-адрес-клиента mac-адрес-клиента
Написать батник типа
arp -s 192.168.0.2 00-00-00-00-00-02
arp -s 192.168.0.3 00-00-00-00-00-03
arp -s 192.168.0.4 00-00-00-00-00-04
....
arp -s 192.168.0.200 00-00-00-00-00-EE

и в автозагрузку его.

D!m@n 28.10.2007 - 12:27

2msdn: простите, а чем это поможет автору темы в его проблеме?..

msdn 28.10.2007 - 15:22

2D!m@n, ладно, если додумывать не хотите, подскажу готовое решение.
предположим, ip-адреса его конторы - 192.168.0.35 - 192.168.0.39. Адрес шлюза, через который ходят в инет - 192.168.0.1. Маска подсети 255.255.255.0.

Значит, пишем батник:
arp -s 192.168.0.1 some-mac-address
arp -s 192.168.0.2 00-00-00-00-00-00
arp -s 192.168.0.3 00-00-00-00-00-00
.....
arp -s 192.168.0.34 00-00-00-00-00-00
arp -s 192.168.0.35 some-mac-address
arp -s 192.168.0.36 some-mac-address
arp -s 192.168.0.37 some-mac-address
arp -s 192.168.0.38 some-mac-address
arp -s 192.168.0.39 some-mac-address
arp -s 192.168.0.40 00-00-00-00-00-00
...
arp -s 192.168.0.254 00-00-00-00-00-00

То есть смысл в том, чтобы установить жесткие привязки для тех машин, с которыми надо общаться, а для остальных - сделать невалидные привязки.

И этот батник в автозагрузку на каждую машину. Это если даже за 800р. железку купить не хотят 😊

Так понятнее будет? К сожалению, я понятия не имею, как в батниках циклы пишутся 😊

D!m@n 28.10.2007 - 18:38

msdn
2D!m@n, ладно, если додумывать не хотите, подскажу готовое решение.
предположим, ip-адреса его конторы - 192.168.0.35 - 192.168.0.39. Адрес шлюза, через который ходят в инет - 192.168.0.1. Маска подсети 255.255.255.0.
Значит, пишем батник:
arp -s 192.168.0.1 some-mac-address
arp -s 192.168.0.2 00-00-00-00-00-00
arp -s 192.168.0.3 00-00-00-00-00-00
.....
arp -s 192.168.0.34 00-00-00-00-00-00
arp -s 192.168.0.35 some-mac-address
arp -s 192.168.0.36 some-mac-address
arp -s 192.168.0.37 some-mac-address
arp -s 192.168.0.38 some-mac-address
arp -s 192.168.0.39 some-mac-address
arp -s 192.168.0.40 00-00-00-00-00-00
...
arp -s 192.168.0.254 00-00-00-00-00-00
То есть смысл в том, чтобы установить жесткие привязки для тех машин, с которыми надо общаться, а для остальных - сделать невалидные привязки.
И этот батник в автозагрузку на каждую машину. Это если даже за 800р. железку купить не хотят 😊
Так понятнее будет? К сожалению, я понятия не имею, как в батниках циклы пишутся 😊

Кажись, понял... Образуется нечто вроде такой своеобразной VLAN, в которую включены только компы из конторы автора... А другие узлы элементарно не смогут обмениваться пакетами (MAC'и-то фиктивные) с компами из сети автора...
ИМХО, очень оригинальное решение!

Set A 28.10.2007 - 19:45

СПАСИБО! здорово и интересно ! Попробую!

finder00 28.10.2007 - 20:53

GeorgeM
Впрочем слышал другую версию: роутер - это железка которая может PPP, PPoE или прочие протоколы точка-точка (т.е. "дозвониться" и авторизоваться)
%-)))

это уже VPN-концентратор!

GeorgeM 29.10.2007 - 01:35

finder00
это уже VPN-концентратор!

Про впн я не говорил, это отдельная песня %-)

to MSDN: Браво! Такого изврата я не встречал, должно сработать... Кроме шуток, решение понравилось, хоть и через жо.

msdn 02.11.2007 - 11:41

Какая постановка задачи, такое и решение 😊

M@DnE$$ 02.11.2007 - 16:44

msdn
Купить за ~800р. роутер Dlink DI-604.

А чё так дорого?!? Я домой себе взял такой за 20 бакинских. Новый безусловно.