Блокировка по MAC на DHCP

@lizakatarsis · Регистрация: 19.04.2012

Студворк — интернет-сервис помощи студентам

Суть проблемы такова:
Есть DHCP на 2003 сервере.
Есть компы, которые расположены неизвестно где, но известны их имена, IP и МАС("плохие").
С этого же сервера IP получают компы, которые стоят в известных местах, их имена, IP, MAC также известны.
Все компьютеры и сервер находятся в одной подсети и соединены неуправляемыми свитчами.
"Хорошие" компьютеры включены в домен, "плохие" (по причине неизвестности местонахождения) и DHCP (по причине упрямства начальнегов) - нет.
Территория предприятия большая, просмотреть все помещения - _очень_нежелательный_выход.
Общее число компов - около 500. Число "плохих" компов - ок.30шт.
Задача - обнаружить компы программным методом. Конкретнее - отрубить им сеть так, чтобы человек позвонил нам, а мы уже уточняем у него местонахождение и переводим комп в разряд "хороших".

@odip · 22.08.2012, 15:16

Заблокировать на роутере IP-адреса

У меня роутер стоит на FreeBSD
Firewall настроен так что выпускает только компы по конкретному списку IP-адресов
Соответственно заблокировать IP-адрес нет проблем

Добавлено через 1 минуту
На 500 компов и везде неуправляемые switch - это вы себя не любите !
Надо на магистрали иметь управляемые switch
Так хоть посмотреть можно на каком порту висит MAC
И бегать не нужно

@lizakatarsis · 22.08.2012, 16:29 **[ТС]**

Для

Надо на магистрали иметь управляемые switch

надо иметь деньги. Начальство не дает, а результаты требуются.

Для 2008 сервера решение простое, там фильтр есть. Для 2003 сервера подсказали следующее решение: http://blogs.technet.com/b/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

HotBeer · 23.08.2012, 10:19

Сообщение от odip

На 500 компов и везде неуправляемые switch - это вы себя не любите

Это понятно.
Но

Сообщение от odip

Надо на магистрали иметь управляемые switch
Так хоть посмотреть можно на каком порту висит MAC

А если на этом порту дальше висят несколько не управляемых свитча.

Dmitry · 23.08.2012, 11:17

через "dumb switch" mac-адрес доходит

HotBeer · 23.08.2012, 12:20

Dmitry, можно подробнее ?

Dmitry · 23.08.2012, 12:33

через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов

@odip · 23.08.2012, 13:04

А если на этом порту дальше висят несколько не управляемых свитча

Сеть надо строить так чтобы на одном порту управляемого switch виcел максимум один неуправляемый switch.
Тогда поиск по MAC-адресу ограничится только одним switch

Добавлено через 1 минуту

через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов

Вообще-то через управляемый switch L2 эти MAC-адреса тоже нормально доходят
Они не доходят если имеется switch L3

А вот switch который умеет nat мне пока не попадался
Хотя я подозреваю что такие есть
Обычно такой девайс называют маршрутизатором

HotBeer · 23.08.2012, 14:02

Не по теме:

Сообщение от Dmitry

к dhcp-серверу попадают именно маки самих компов

А извиняюсь, это то понятно.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@lizakatarsis 1 / 1 / 0 Регистрация: 19.04.2012 Сообщений: 34

	Блокировка по MAC на DHCP 22.08.2012, 12:11. Показов 12207. Ответов 8 Метки нет (Все метки) Суть проблемы такова: Есть DHCP на 2003 сервере. Есть компы, которые расположены неизвестно где, но известны их имена, IP и МАС("плохие"). С этого же сервера IP получают компы, которые стоят в известных местах, их имена, IP, MAC также известны. Все компьютеры и сервер находятся в одной подсети и соединены неуправляемыми свитчами. "Хорошие" компьютеры включены в домен, "плохие" (по причине неизвестности местонахождения) и DHCP (по причине упрямства начальнегов) - нет. Территория предприятия большая, просмотреть все помещения - _очень_нежелательный_выход. Общее число компов - около 500. Число "плохих" компов - ок.30шт. Задача - обнаружить компы программным методом. Конкретнее - отрубить им сеть так, чтобы человек позвонил нам, а мы уже уточняем у него местонахождение и переводим комп в разряд "хороших". 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	22.08.2012, 15:16
	Заблокировать на роутере IP-адреса У меня роутер стоит на FreeBSD Firewall настроен так что выпускает только компы по конкретному списку IP-адресов Соответственно заблокировать IP-адрес нет проблем Добавлено через 1 минуту На 500 компов и везде неуправляемые switch - это вы себя не любите ! Надо на магистрали иметь управляемые switch Так хоть посмотреть можно на каком порту висит MAC И бегать не нужно 0

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	23.08.2012, 11:17
	через "dumb switch" mac-адрес доходит 0

HotBeer Модератор 5886 / 2776 / 194 Регистрация: 27.06.2011 Сообщений: 11,203
	23.08.2012, 12:20
	Dmitry, можно подробнее ? 0

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	23.08.2012, 12:33
	через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов 0