Закрытие доступа по сети.

[▬▬☻▬▬]

Есть один говнюк (сорри за выражение, но это самое преуменьшенная форма), которому надо закрыть доступ к компу. Хочется узнать как.
Например. Делаю сервер LA2, нужно что бы он не смог подключиться ко мне предположим на мой адрес 192.168.1.1, да и просто не смог просматривать расшаренные файлы.
Хочется запретить доступ ему по МАС адресу, так как в локальной сетке используются статические адреса, которые с легкостью могут поменять.
Вопрос, собственно, как это сделать?

 

[LIvelacE]

1. Вы можете просто выключить службу "Сервер". При этом ресурсы SMB будут недоступны на вашем компьютере, но на другие-чужие заходить вы сможете.
2. Вы можете разграничить доступ к общим ресурсам - пользователями.

 

[▬▬☻▬▬]

Доступ нужно запрещать определенному человеку. Сделать это можно только через запрет доступа его компа. А его комп можно уникально идентифицировать по мак адресу его сетевой карты .... узнать его можно через командную строку))))) Осталось только заблочить его нахрен!

 

[LIvelacE]

Круто. Йо.

1. MAC адрес элементарно изменяется в "Диспетчер устройств", специализированными программами, в BIOS (редко).
2. Осталось только подумать головой.

 

[▬▬☻▬▬]

LIvelacE, оки) НО. это знают лишь "продвинутые" пользователи. А раз у нас с тобой спор пошёл, то как тебе тогда не запрет мак-адресов, а разрешение?? М? Я про то что есть первоначальный список мак адресов сетки, который составляется допустим неделю. После нарушители блочатся и все кто не был в списске. Буэ)))

 

[LIvelacE]

Я уже всё написал.

 

[▬▬☻▬▬]

Подумать головой?)))
Лучше бы написал как мак-адреса блокировать

 

[KLIM]

Может не от туда начинаешь? Может не кому запретить, а кому разрешить? Файрволл и доступ только провереным людям, если хотят получать доступ к твоим ресурсам, то пускай не меняют свои IP.
P.S. Админ с семилетним стажем не может подсказать, основы основ, что доступ сначала закрывается, а открывается там где надо, а не наоборот.

 

[▬▬☻▬▬]

P.S. Админ с семилетним стажем не может подсказать, основы основ, что доступ сначала закрывается, а открывается там где надо, а не наоборот.

Эт ты про кого?

Мне нужны мак адреса))))

 

[KLIM]

Эт ты про кого?
Мне нужны мак адреса))))

Ты админ с семилетним стажем?

 

[▬▬☻▬▬]

Я программист 1С)
Да и права доступа существуют такими какими их создали))) И что сначало - закрывать или разрешать - это как удобнее.

 

[KLIM]

Я тоже не админ с семилетним стажем. Метод от противного поможет тебе ответить на последний вопрос. А с MAC адресами врятли что-то получится, но можно загнать ему троянчик, с определением MAC адреса, но там даже он не нужен, можно по айпи остановиться.

 

[▬▬☻▬▬]

Всё получится! Замена мак адреса - вообще никто не догадается его менять) Люди забьют и свалят всё на вирусы)

 

[▬▬☻▬▬]

А с коммутатора можно МАС блочить?

 

[LIvelacE]

Это обычный неуправляемый свитч. Осуществлять контроль доступа по MAC он не может.

 

[▬▬☻▬▬]

Блин, думал создам тему, пообщаюсь со спецами, а получается какая то дохлая темка... лана, пофиг...
а вот этот?
Короче, неужели нет каких нибудь программ и т.д. для подобных задач???

 

[LIvelacE]

1.

http://ftp.dlink.ru/pub/Router/DIR-100/Data_sh/DIR-100-DI-03.pdf

User Access Control
+ MAC address filtering
+ IP address filtering
+ Scheduling

2. Если вы знакомы с Linux-iptables есть match extension "mac". С помощью этого расширения можно блокировать MAC адреса. Если уж совсем хорошо знаете Linux - вы можете также написать свой скрипты для обратного arp запроса. Либо использовать специальный демон для обнаружения манипуляции с MAC адресами.

 

[nvv13]

Есть один говнюк (сорри за выражение, но это самое преуменьшенная форма), которому надо закрыть доступ к компу. Хочется узнать как.
Например. Делаю сервер LA2, нужно что бы он не смог подключиться ко мне предположим на мой адрес 192.168.1.1, да и просто не смог просматривать расшаренные файлы.
Хочется запретить доступ ему по МАС адресу, так как в локальной сетке используются статические адреса, которые с легкостью могут поменять.
Вопрос, собственно, как это сделать?

это под windows?
может так, в коммандной строке, делаем

route add xxx.xxx.xxx.xxx mask 255.255.255.255 yyy.yyy.yyy.yyy /P
где xxx.xxx.xxx.xxx - IP адрес который нужно блокир.
yyy.yyy.yyy.yyy -IP адрес несуществующей машины в вашей подсетке

восстановить так
route delete xxx.xxx.xxx.xxx

если надо по MAC, то сделай скриптик,
1)для выяснения IP делаеш
arp -a
а потом route

Блин, думал создам тему, пообщаюсь со спецами, а получается какая то дохлая темка...

отпиши, как получилось...

 

[LIvelacE]

Я думаю это не будет работать.

1. Для того, чтобы какие-либо маршруты были рабочими:
а) Должна быть запущена служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" на компьютере защищающегося.
б) На компьютере "говнюка" должен быть прописан основным шлюзом как раз машина защищающегося.

2. Если делать через планировщик задач обратный arp запрос и парсить IP-адрес -> его (речь про IP-адрес) можно смело добавлять через reg фаил в правила штатного firewall Windows.


3. Всё это "костыли".

 

[▬▬☻▬▬]

nvv13, route add ... целевой комп
route print - проверил
пошёл на целевой комп - по сети хотел файлики поглядеть - хрен плавал
route delet
пошёл на целевой - доступ открыт, гляжу файлики.
---------------------
Это про то что у меня по IP получилось.
Как теперь с MAC адресами делать?
Да и еще.... Получается то что я раньше мост с 2-мя соединениями делал - можно через вышеописанное, где "несуществующий" адрес- будет адресом 2-й сетевухи?
---------------------

LIvelacE, с роутером конечно интересная идея но стоит денег. А вот на счет линукса... скоро я его буду ставить (буквально на днях) - там подробнее поговорим