Как вырубить неплательшика из сети?

[drb 0]

Как вырубить неплательшика из сети чтобы он не имел доступа ни к серверу ни к сети? Без управляемых свичей

[Sanito 129]

Только его кабель вытащить из свитча, других вариантов нет.

[XoRe 0]

Смотри сам.

Нет доступа к серверу = нет коннекта.

Нет доступа к сети = нет линка в сетевухе.

 

Если первое можно сделать программно, то второе делается физически.

Или программно-физически, если на управляемом свиче отрубить порт.

[REND 0]

Если сеть небольшая, то можно в центре поставить управляемый свич и на нём запретить связку mac+ip пользователя, в результате он запирается в своём сегменте

[Maikl 0]

а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

[npu3pak 0]

а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Можно немного поподробнее.

Могу я это сделать, если у меня нет управляемого комутатора и серв просто включен в сеть?

[drb 0]

а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Если так прописать на сервере то клиент не будет иметь доступа только к серверу а доступ к сети будет иметь. Нужно чтобы клиента не пустило в сеть. Если например у клиента ІР-192.168.0.5 то при включении винда посылает 3 арп-пакета "кто 192.168.0.5" и если никто не ответит то клиента пускает в сеть с ІР-192.168.0.5. Нужно програму которая неплательщикам будет отвечать по арпу ІР занят тогда их не пустит в сеть.

[npu3pak 0]

2 drb: Но ведь можно просто сменить Ай-Пи :-0

[Legioner 14]

90% домашних локальных сетей построены на неуправляемых свичах и если ты реальный :argh: АДМИН сети, то тебе проще всего будет сходить к тому свичу и выдергнуть неплательщика!

[drb 0]

2 drb: Но ведь можно просто сменить Ай-Пи :-0

ІР можна привязать к МАС и проверять пару МАС-ІР. Правда можна и МАС сменить/-)

[drb 0]

90% домашних локальных сетей построены на неуправляемых свичах и если ты реальный :argh: АДМИН сети, то тебе проще всего будет сходить к тому свичу и выдергнуть неплательщика!

а он потом сразу заплатит и придется снова ити туда и включать. Так выдергивать можно только злобных неплательшиков и отключенных "хацкеров".

Нужна програма чтобы средствами АРП непустить клиента в сеть.

[Maikl 0]

а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Если так прописать на сервере то клиент не будет иметь доступа только к серверу а доступ к сети будет иметь. Нужно чтобы клиента не пустило в сеть. Если например у клиента ІР-192.168.0.5 то при включении винда посылает 3 арп-пакета "кто 192.168.0.5" и если никто не ответит то клиента пускает в сеть с ІР-192.168.0.5. Нужно програму которая неплательщикам будет отвечать по арпу ІР занят тогда их не пустит в сеть.

ну ну!

у меня биллинг так отключает пользователей от сети, и еще ни один не смог пролезть, сначала firewall отключает доступ в инет, пара дней есть доступ к серверу статистики и к сети, а потом и это отключаетса...

[•••KVINTA••• 0]

Нет всеже есть вариант, и он работает.

Сначала разкажу принцып действия, на сервере (шлюзе) ипишке юзера который не заплатил делаетца двойник, тоисть получаитца конфликт ип адресов, тоисть юзер не куда ходить не может.

Надеюсь обяснил понятно.(старался изо всех сил)

 

Теперь как ето зделать.

Очень просто

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

И если мак не совпадает с маком юзера, то будет кричать что конфликт ип адресов.

 

P.S. Надеюсь написал все правильно, делали мы ето довольно давно, могу ошибатца, если не заработает то пишыте я посмотрю что не так и скажу что написал не правильно.

[drb 0]

ну ну!

у меня биллинг так отключает пользователей от сети, и еще ни один не смог пролезть, ...

так можна отключить только от шлюза (у юзера не будет инета) а доступ в сеть будет, будет ганять игры и качать фильмы у других на халяву ))))))) некоторые таким довольствуются месяцами.

[Foster 0]

привязка мака к ИПу действует только для сервера, чтобы кричало, что ИП занят можно просто на серваке алиас поднять, но это ненадежно. Умные свитчи это все что спасает.

ifconfig eth0:0 192.168.1.5

[drb 0]

Очень просто

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

И если мак не совпадает с маком юзера, то будет кричать что конфликт ип адресов.

2 KVINTA. Вы пишите "И если мак не совпадает с маком юзера..." а где здесь МАС юзера? так можно заблокировать доступ с IP юзера а юзер может поставить другую IP (((((((((((

Нужно блокировать связку IP+MAC хотя и это юзер может легко поменять ((((((((

[•••KVINTA••• 0]

Да поменять может, тогда уже спасут точно умные свичи

[•••KVINTA••• 0]

привязка мака к ИПу действует только для сервера, чтобы кричало, что ИП занят можно просто на серваке алиас поднять, но это ненадежно. Умные свитчи это все что спасает.

ifconfig eth0:0 192.168.1.5

Да нет и так как я говорю будет работать. И алиас не надо поднимать.

Но конешно умный свитч ето на все сто надежней.

[XoRe 0]

Для средних пользователей забивки типа

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

более менее достаточно.

 

С другой стороны, пользователь может себе поставить мак-адрес 00:00:00:00:00:00.

И нормально )

 

С третьей стороны, пользователь может сменить ип и мак на ип и мак другого юзера и будет иметь сеть в его отсутствие.

 

"Защита" arp -s IP_адрес_клиента 00:00:00:00:00:00 pub, основанная на том, что винда посылает 3 запроса - довольно слабая защита.

*nix плевать хотел на такие ответы =)

 

У меня стоит забивка диапазона /22 командами типа

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

Только вместо 00:00:00:00:00:00 у меня скриптом генерируются рандомные мак-адреса.

 

Я понимаю, что это можно обойти.

Два пользователя могут себе поставить ип-адреса 1.1.1.1 и 1.1.1.2 и сеть 1.1.1.0/30

Если у обоих будут оси *nix и прямые руки, то их невозможно будет засечь в сети с неуправляемыми свичами.

 

Лично у меня пошли таким путем.

Постепенно все свичи поменяем на недорогие управляемые свичи от Лайтком ( http://lightcom.ru/production/ethernetswitches.asp ).

Там можно отключать порты и привязывать к портам мак-адреса.

И сделаю скрипт, который будет программно отключать/включать порты на свичах.

 

Имхо, это оптимальное решение по цене и надежности.

[•••KVINTA••• 0]

Совершено согласен.

[ejuk 0]

Господа! года 3 назад, будучи студентом КИМО, и живя в общаге, была сеть примерно на 200 компов, так вот как мы решали подобную проблему(управляемых свичей небыло): есть прога называется netXray она в состоянии перехватить ПАКЕТ нарушителя (независимо от IP и MAC) и отправить его нарушителю тоесть взад в реальном времени. Что происходит в таком случае? Ответ: если исходящий пакет попадает на input сетевухи, то

1)Писиайная виснет и не принимает и не отправляет больше пакетов до системного резета.

2)Интегрированная иногда вешает весь комп.

Вывод: Юзез пару-десять раз попавши в такую ситуацию сам выдернет провод LAN или заплатит!!!

[Daniil_ 10]

подскажи тогда где ее достать можно

[mr.Scamp 41]

netXray? http://www.cinco.com

 

Правда это не убийца локалок, а всего лишь очень advanced анализатор протоколов, очень удобен для сбора статистики, диагностики и оценки производительности сетей.

Сейчас фирма Cinco Networks входит в состав Networks Associates Technology, Inc, которая известна у нас под торговой маркой McAfee.

[centre-lan 1]

NetXRay перестала существовать, на смену ей пришел Sniffer Pro(С)

[Quad 0]

написал arp -s 10.100.0.13 00:00:00:00:00:00 pub

 

у этого айпи даже сеть пропала, он зашел поменял себе айпи и все видит снова, кроме серваков потомучто там привязка мак с айпи.

 

маки менять не все могут, но как спастить от того чтоб при смене айпишника но с тем же маком сетка всеравно не работала?