Блокировка по MAC на DHCP

@lizakatarsis · Регистрация: 19.04.2012

Студворк — интернет-сервис помощи студентам

Суть проблемы такова:
Есть DHCP на 2003 сервере.
Есть компы, которые расположены неизвестно где, но известны их имена, IP и МАС("плохие").
С этого же сервера IP получают компы, которые стоят в известных местах, их имена, IP, MAC также известны.
Все компьютеры и сервер находятся в одной подсети и соединены неуправляемыми свитчами.
"Хорошие" компьютеры включены в домен, "плохие" (по причине неизвестности местонахождения) и DHCP (по причине упрямства начальнегов) - нет.
Территория предприятия большая, просмотреть все помещения - _очень_нежелательный_выход.
Общее число компов - около 500. Число "плохих" компов - ок.30шт.
Задача - обнаружить компы программным методом. Конкретнее - отрубить им сеть так, чтобы человек позвонил нам, а мы уже уточняем у него местонахождение и переводим комп в разряд "хороших".

@odip · 22.08.2012, 15:16

Заблокировать на роутере IP-адреса

У меня роутер стоит на FreeBSD
Firewall настроен так что выпускает только компы по конкретному списку IP-адресов
Соответственно заблокировать IP-адрес нет проблем

Добавлено через 1 минуту
На 500 компов и везде неуправляемые switch - это вы себя не любите !
Надо на магистрали иметь управляемые switch
Так хоть посмотреть можно на каком порту висит MAC
И бегать не нужно

@lizakatarsis · 22.08.2012, 16:29 **[ТС]**

Для

Надо на магистрали иметь управляемые switch

надо иметь деньги. Начальство не дает, а результаты требуются.

Для 2008 сервера решение простое, там фильтр есть. Для 2003 сервера подсказали следующее решение: http://blogs.technet.com/b/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

HotBeer · 23.08.2012, 10:19

Сообщение от odip

На 500 компов и везде неуправляемые switch - это вы себя не любите

Это понятно.
Но

Сообщение от odip

Надо на магистрали иметь управляемые switch
Так хоть посмотреть можно на каком порту висит MAC

А если на этом порту дальше висят несколько не управляемых свитча.

Dmitry · 23.08.2012, 11:17

через "dumb switch" mac-адрес доходит

HotBeer · 23.08.2012, 12:20

Dmitry, можно подробнее ?

Dmitry · 23.08.2012, 12:33

через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов

@odip · 23.08.2012, 13:04

А если на этом порту дальше висят несколько не управляемых свитча

Сеть надо строить так чтобы на одном порту управляемого switch виcел максимум один неуправляемый switch.
Тогда поиск по MAC-адресу ограничится только одним switch

Добавлено через 1 минуту

через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов

Вообще-то через управляемый switch L2 эти MAC-адреса тоже нормально доходят
Они не доходят если имеется switch L3

А вот switch который умеет nat мне пока не попадался
Хотя я подозреваю что такие есть
Обычно такой девайс называют маршрутизатором

HotBeer · 23.08.2012, 14:02

Не по теме:

Сообщение от Dmitry

к dhcp-серверу попадают именно маки самих компов

А извиняюсь, это то понятно.

@lizakatarsis 1 / 1 / 0 Регистрация: 19.04.2012 Сообщений: 34
		1
	Блокировка по MAC на DHCP 22.08.2012, 12:11. Показов 11079. Ответов 8 Метки нет (Все метки) Суть проблемы такова: Есть DHCP на 2003 сервере. Есть компы, которые расположены неизвестно где, но известны их имена, IP и МАС("плохие"). С этого же сервера IP получают компы, которые стоят в известных местах, их имена, IP, MAC также известны. Все компьютеры и сервер находятся в одной подсети и соединены неуправляемыми свитчами. "Хорошие" компьютеры включены в домен, "плохие" (по причине неизвестности местонахождения) и DHCP (по причине упрямства начальнегов) - нет. Территория предприятия большая, просмотреть все помещения - _очень_нежелательный_выход. Общее число компов - около 500. Число "плохих" компов - ок.30шт. Задача - обнаружить компы программным методом. Конкретнее - отрубить им сеть так, чтобы человек позвонил нам, а мы уже уточняем у него местонахождение и переводим комп в разряд "хороших". 0

@odip 7175 / 3234 / 81 Регистрация: 17.06.2009 Сообщений: 14,164
	22.08.2012, 15:16	2
	Заблокировать на роутере IP-адреса У меня роутер стоит на FreeBSD Firewall настроен так что выпускает только компы по конкретному списку IP-адресов Соответственно заблокировать IP-адрес нет проблем Добавлено через 1 минуту На 500 компов и везде неуправляемые switch - это вы себя не любите ! Надо на магистрали иметь управляемые switch Так хоть посмотреть можно на каком порту висит MAC И бегать не нужно 0

@lizakatarsis 1 / 1 / 0 Регистрация: 19.04.2012 Сообщений: 34
	22.08.2012, 16:29 [ТС]	3
	Для Надо на магистрали иметь управляемые switch надо иметь деньги. Начальство не дает, а результаты требуются. Для 2008 сервера решение простое, там фильтр есть. Для 2003 сервера подсказали следующее решение: http://blogs.technet.com/b/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx 0

HotBeer Модератор 5082 / 2327 / 148 Регистрация: 27.06.2011 Сообщений: 9,259
	23.08.2012, 10:19	4
	Сообщение от odip На 500 компов и везде неуправляемые switch - это вы себя не любите Это понятно. Но Сообщение от odip Надо на магистрали иметь управляемые switch Так хоть посмотреть можно на каком порту висит MAC А если на этом порту дальше висят несколько не управляемых свитча. 0

Dmitry 12944 / 7347 / 787 Регистрация: 09.09.2009 Сообщений: 28,753
	23.08.2012, 11:17	5
	через "dumb switch" mac-адрес доходит 0

HotBeer Модератор 5082 / 2327 / 148 Регистрация: 27.06.2011 Сообщений: 9,259
	23.08.2012, 12:20	6
	Dmitry, можно подробнее ? 0

Dmitry 12944 / 7347 / 787 Регистрация: 09.09.2009 Сообщений: 28,753
	23.08.2012, 12:33	7
	через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов 0

@odip 7175 / 3234 / 81 Регистрация: 17.06.2009 Сообщений: 14,164
	23.08.2012, 13:04	8
	А если на этом порту дальше висят несколько не управляемых свитча Сеть надо строить так чтобы на одном порту управляемого switch виcел максимум один неуправляемый switch. Тогда поиск по MAC-адресу ограничится только одним switch Добавлено через 1 минуту через обычный неуправляемый свич (в котором нет nat) к dhcp-серверу попадают именно маки самих компов Вообще-то через управляемый switch L2 эти MAC-адреса тоже нормально доходят Они не доходят если имеется switch L3 А вот switch который умеет nat мне пока не попадался Хотя я подозреваю что такие есть Обычно такой девайс называют маршрутизатором 0

HotBeer
	23.08.2012, 14:02 Блокировка по MAC на DHCP #9
	Не по теме: Сообщение от Dmitry к dhcp-серверу попадают именно маки самих компов А извиняюсь, это то понятно. 0

Опции темы