Как блокировать нелегалов в сети?

[yaroha 1]

Всем доброго времени суток!

Есть сеть без выхода в инет: 20 пользователей, DNS-сервер под FreeBSD 8.1 и DC-хаб. Все завязано обычными неуправляемыми свичами, нигде нет никаких роутеров/маршрутизаторов(образно говоря - все воткнуто в один свич). IP-адреса хостов статические.

Вопрос: как реализовать блокировку каждого хоста по MAC+IP, чтобы юзвери даже не могли между собой в контру резаться(фактически виртуально выдернуть витую пару из компа хоста)? Насколько я понял, надо рыть в сторону ipguard (хочу реализовать задачу под FreeBSD). Если это так, то пожалуйста опишите подробно работу и настройку данного софта под мою задачу или дайте ссылки на толковую документацию(на русском).

Большая просьба описывать все более-менее просто, потому как я начинающий в этом деле.

Заранее благодарен всем за помощь!

[nightfly 1 241]

Купить нормальные свичи, настроить vlan-per-user и забыть как о страшном сне о всяких пионерских замашках.

[trinity0333 11]

ну не все могут позволить себе сразу управляемое.. тем более сеть маленькая.. ставь ipguard, читай мануал.

 

запускай примерно так:

 

/usr/local/sbin/ipguard -f /arp.txt -m de:ad:00:00:de:ad -o -l /var/log/ipguard.log -i em0

 

в /arp.txt пропиши связки мак-ип правильных юзеров типа:

 

192.168.1.1 00:11:44:55:66:77

192.168.1.2 00:22:33:44:55:77

 

и те кто левые на winxp - win7 будут иметь проблемы при нормальной работе в такой сети с постоянными "такой ip уже используется в сети", итд если кто-то за роутерами сидит, то тут уже не поможет софтовое решение..

[yaroha 1]

em0 - это сетевой интерфейс?

[trinity0333 11]

да. у тебя по-другому может называться.

[hellion 4]

Купить нормальные свичи, настроить vlan-per-user и забыть как о страшном сне о всяких пионерских замашках.

надо делать арп сервет, что-бы подменять мак и айпи чувака которого хотите отключить. винда сразу глючит если идет конфликт айпи в сети. но если у юзера линь или фря, то им все равно, в логах напишет что есть типа чувак с таким же айпи как и у меня и все и будет дальше работать

[Danil 1]

а выдернуть из свича неплательщика? Если тем более он 1!!( Свитч) У меня обычно блочится автоматом инет. Потом уже звонок абоненту будем платить. Нет. Тогда идет монтажник и выдергивает кабель. Как показал опыт бегут потом сразу платить. Так как в нашем районе конкурентов практически нет)

[yaroha 1]

в arp.txt я прописываю легальных юзверей. А что будет с теми, кто не прописан в файлике?

[alex_o 1 194]

А что будет с теми, кто не прописан в файлике?

Если у них есть мозги или роутер, то они будут замечательно работать

Чтобы контролировать 20 юзеров, достаточно купить 1 умный свич на 24 порта. Это в пределах 1200-2000грн. Неужели неподъемная сумма?

 

П.С. Да, и ДНС лучше перевести на фрю 8.2!!!

[nightfly 1 241]

ну не все могут позволить себе сразу управляемое.. тем более сеть маленькая.. ставь ipguard, читай мануал.

Тогда о каком провайдинге как бизнесмодели можно говорить? Я тоже может хочу торговать бентли имея в наличии одну сильно подержанную шоху и бутылку водки.

 

кстати arp -S ip mac на дефолтгейтвее и дело с концом, правда я не представляю, кто запретит мне моментально находясь в одном л2 сегменте со всеми отснифать все рядом стоящие маки послав arp who-has и полностью нативно себе их прибить?

 

20 юзеров... это блин 1 ноунейм либо даже какойто нейм л2 свич который 120 баксов в закупке.

 

Парадигма получения контроля и управления сетью построеной на неуправляемом оборудовании изначально ущербна и попахивает идиотизмом.