обрый день!
Подскажите как можно реализовать следующие.
Имеется сеть без домена (рабочая группа), адреса в сети присваиваются статически, всего 130 ip-адресов.
Получилось так что люди без спроса подключились в локальную сеть, чисто методом подбора свободного ip получили доступ к локальным ресурсам.
Как это было посмотрели ip адрес на одном инженерском пк, название рабочей группы, далее ip адрес, маску и шлюз.
Подскажите как можно сделать следующее, не используемые адреса забить в бан-список и не давть доступа к портам 137,138,138,445 на протоколах tcp и udp...
Желательно на Linux системах.
Сделать сеть dhcp не вариант.
- 130 хостов в одноранговой сети - ну Вы даете, при 50ти уже целесообразно вланить, иначе хорошо если 70% вашего гигабита это udp-штормы.
- Сеть обязательно резать как минимум на: административную, производственную, серверную. Можно имеющимся микротом если встянет по производительности, если нет - докупить еще пару.
- Шары на >20 клиентов только парольные иначе задолбетесь искать кто где нагадил.
- IP в DHCP, DHCP в MAC и на тех же микротах в iptables, там это одна из стандартных функций.
- В производственной сети зарезать все кроме нужных ресурсов, все шары только на серверах.
Ну такое хозяйство досталось.
Вот исправляю косяки...
Было круче:
1) хабы на 10мбит.
2) домашний роутеры в трех разных зданиях, по 3 шлюза из адресов роутеров.
3) шары без паролей - на вопрос пароли а что это...
И все в таком духе.
Все перетянул в свой кабинет чтобы все входы провайдеров и выход в локальную сеть у меня были). Все сетевое оборудование сменил на свичи гигабитные. Микротик поставил настроил на управление с интернетом.
Вот далее разгребаю и делаю побочно консульитруюсь
bjjzpp, Ну для конечных юзеров, со стороны клиента, шары могут быть и безпарольные (на основе AD или просто при подключении дисков админ вбил и сохранил пасс), но со стороны сервера все это должно уходить строго по учеткам, иначе никакого разделения доступа, квотирования, логирования действий и тд.
Домашние роутеры, если это не лютый недокитай тоже можно применить в качестве шлюзов между подсетями, но если дают деньги на модернизацию, то лучше ставить микроты.
Что бы защититься от такого изнутри сети нужно сетевое оборудование поддеживающее 802.1x. Запрет неиспользуемых адресов не защитит вас от того что кто то может взять себе разрешённый адрес .
у вас там хаб чтоль?
правильней всего разделить "инженерскую" сеть и пользовательскую по l2 вланами и(или) коммутацией.
если стоит задача "банить" - то "банить" нужно на чём то - сервер, либо на сетевом оборудовании написать правильные разрешающие правила, а остальное запретить.
iptables, DROP все входящие из того диапазона, который вы считаете нелегитимным.
Только вам это не поможет.
Никто не мешает "людям" занять используемый IP раньше "законного" владельца, например.
Компы внутри одного широковещательного домена, общаются "мимо" шлюза.
Если хотите дать доступ к компам только определённым IP то вам придётся на каждом компе настроить фаервол с белым списком и переодически так бегать.
Ваша проблема, решается с помощью управляемых свитчей, ещё можно с помощью биты.
Предприяите МУП).
Да сам прикол шары без логина и пароля))).
Что было сделано обширного где сеть перетягивал, заместо хабов поставил свичи.
В замен номашних роутеров воткнул микротик и через него настроил подключения в инет.
ммм, ну как левые это сотрудники предприятия, которые обычные кочегары. пришли со своей железкой посмотрели настройки сети и пошло поехало.
Управляемый роутер у меня микротик, в него приходит 3провера и с него идет провод идет на свичи.
Почему не dhcp начальника добро не дает на него, причины хз типа когда то что то не пошло.
802.1x оборудование это какое к примеру? - в данный момент стоят tp-link не управляемые свичи современные т.к., сетка 1гб/с.
Хабы раньше были все убрал.
Домена нет, только рабочая группа.
Обычно в играх сначала побеждаешь мелких монстров, потом появляется босс. А тут же всё наоборот - сперва с начальником надо бороться, а потом уже с кочегарами. Сочувствую.
По делу: на Linux можно сделать жесткую привязку IP-адреса к MAC-адресу. Это поможет от подмены IP. В свою очередь MAC тоже можно подменить, но это надо быть оч-чень продвинутым кочегаром.
как уже писал выше: на свитчах настрой вланы и портсекьюрити, если очень нужно чтоб никто в него(свитч) не включился. если очень нужно разграничивать сервисы - зарули всё внутри на микротик и на нём терминируй сессии фаерволом.
Простой
