Есть сеть ~40 компов, есть DHCP сервер который раздаёт IP юзерам, подскажите как можно при помощи данных средств исключить доступ к сети провинившегося юзера?

Что делал: присваивал каждому, через резервирование, юзеру по его MAC-адресу IP, всё норм, если удалить его из резервирования, то он не может получить адрес, но он может прописать адрес сам и благополучно войти в сеть, как можно исключить данную возможность?

Можно предлагать сторонний софт с ссылками.

Спасибо.

за самовольное присвоение IP, отключать от сети с платным восстановлением подключения
занять все свободные IP в сегменте.

сделай домен и все. вход в сеть по логину + паролю.

На этом поподробнее, плиз, и русским языком.


Это типа все 255 номеров забить? Как? Если задать область исключения, то при присвоении IP из области исключения он нормально регистрируется в сети.

Резать провода не вариант, т.к. сеть по району раскидана, а по всем чердакам ползать не удобно.

ставиться сервер. поднимается Active Directory + DHCP. Заводяться логины. Прежде чем войти в сеть, чел должен ввести логин и пароль иначе он в сеть не войдет. Управление доступом к ресурсам сети - на уровне сервера. Даже если чел присвоит себе ИР, он все равно ни до одного ресурса не достучиться.
Минусы: падает сервак - падает все.

Для неподготовленного человека установка домена win2000, winNT или win2003 - вещь достаточно геморройная.
Тем более потом на доменную аутентификацию придется подвязывать все сервисы, доступные сейчас в сети, ведь ничто не помешает юзеру зайти под локальным админом, настроить IP и получить доступ к тому же FTP или HTTP-серверу. А гемор с профилями юзеров вспомните. ИМХО домен - это не вариант, в данном случае.

Реально есть 2 выхода:
1. Если поддерживают коммутаторы, установленные в сети, сделать сетевую аутентификацию по протоколу 802.1x. Поищите в Инете статью "Сетевая аутентификация на практике" - там про это все подробно написано. Если не найдете, спросите меня в ЛС, я скину.
2. Есть замечательный тезис сетевого администратора (в переводе с английского):

Я надеюсь, пояснять не нужно .

Добавлено спустя 2 минуты, 44 секунды:

Угу, это значит придется отказаться от вполне удобных юнисковых ftp-серверов и перейти на M$ ftp-сервер и т.д.

Serg_[OwP] т.е. я должен создать каждого юзера на сервере, а юзер у себя на компе с таким паролем, так? а потом, в случае провинности, на сервере блокируется его учётная запись и сё? он зайдёт на комп, но не сможет войти в сеть, т.е. просто не будет её видеть? А если он создаст у себя не забаненного юзера?

наверно лучше ввести в устав пункт:


и при падении сервера сеть будет норм т.к. если выставить время аренды к примеру 15 дней, у меня будет 15 дней на оживление сервера, я так понимаю?

домен - удобная штука, но имхо для локальной сети ничего подобного делать не надо.
особенно если опыта мало, падение контроллера и вся сеть безжизненна.
а по поводу


нормальная практика. Если человек хулиганит, а на предупреждения неадекватно реагирует, отключение его.. Сходи ради этого даже на чердак куда-нить.. Пройдет время, прибежит к тебе с денежкой для обратного подключения
Особо злостные случаи с членовредительством оставим за кадром
Вообщем после такого слушаться будут... может быть.

Можно отказаться от DHCP - раздать статические IP.
На сервере/серверах поднять FireWall. Управлять по IP. За использование чужого IP - наказывать.
А можно рассмотреть вариант с использованием VPN.

Хм...только что подумал, а есть FireWall с котнролем MAC-адреса?

Вот интересная ветка по теме http://www.dore.ru/perl/nntp.pl?f=1&gid=1&mid=145328
но я её доконца не дочитал.

Подключение в i-net через username/password на протоколе PPPOE

Можно мааленький вопрос, если юзверь сменить себе MAC и соотвественно смениться ip, то как его вычислить и порезать провода, с условием того что в инет по левому ip он не полезет и свой акк не засветит?

Добавлено спустя 1 минуту, 3 секунды:
Pizza Delivery, PPPOE это и есть VPN, только вопрос немного в другом.
SergGreen, вариант со статическими ip неприемлем, лучше уже ActiveDirectory.

Да с чего это ip сменится? У человека, как я понял, настроен т.н. "статический" DHCP, т.е. конкретному mac-у назначается конкретный ip, и никаких scopes. Пусть mac меняет - ip все равно не получит.

Сменит МАС - не получит IP, но за то сможет сам себе IP написать, вот таких и хочу банить, чтоб с "левым" IP он в сети просто не смог зарегится. Я знаю какие IP выдавал а какие нет, выследить мона, кто нить да скажет кто это такой, всегда найдутся люди которые подлизаться хотят, но это не выход.
Не плохо было бы, если бы те адреса которые в области исключения находятся, в сети регистрировались, и при их введении в настройках TCP/IP комп выдавал бы что-то типа: "Данный IP уже есть в сети и т.п. и т.д."

Кстати можно ли временно приостановить выдачу конкретному МАС его IP, чтоб не удалять из резервирования.

DHCP-сервер какой используете?

Taurus_busy хз, тот что в Win2000Server, на днях поставлю Win2003Server, по причине не желания запускаться на 2000 сервера для WoW.

не совсем так. ЧТобы он локально не делал, это на домен не распространяется. И если в домене он забанен, то доступ к ресурсам сети не получит. А локально работать сможет

политики безопасности. можно прописать разрешенные МАС-адреса. Если нужно ограничить И-НЕТ, АДСЛ от Зухель к примеру позволяют настроить фильтрацию по МАС или IP.

Serg_[OwP] как инет ограничить это понятно, а вот конкретно DHCP. Прописать то можно, и удалять можно чтоб не получал пользователь адрес, а временно остановить, чтоб к, примеру, заблокировал выдачу адреса на неделю, и ровно через неделю сервер сам возобновил выдачу IP этому MAC, а то чел это такое существо, что может и забыть, тем более сисадмин =)

Случайно зашел, могу порекомендовать ставить управляемые коммутаторы, например Cisco, и рубить прямо на порту.

NORR, а можешь назвать хоть примерную цену этих девайсов?