* [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса
2001-03-30 8:13 [mdk-re] RE: [mdk-re] Два вопроса Зуев Дмитрий Федорович
@ 2001-03-30 9:05 ` Alexandre Redko
2001-03-30 11:54 ` Вениамин
` (2 subsequent siblings)
3 siblings, 0 replies; 8+ messages in thread
From: Alexandre Redko @ 2001-03-30 9:05 UTC (permalink / raw)
To: mandrake-russian
bootps 67/udp dhcps #Bootstrap Protocol
Server
bootpc 68/udp dhcpc #Bootstrap Protocol
Client
Regards to All
Alexandr Redko
LU # 178842
ICQ # 75828152
----- Original Message -----
From: "Зуев Дмитрий Федорович" <dima@magn.guta.ru>
To: <mandrake-russian@altlinux.ru>
Sent: Friday, March 30, 2001 8:18 AM
Subject: [mdk-re] RE: [mdk-re] Два вопроса
> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.
>
> Я тоже про это спрашивал, но сейчас вопрос в другом :
>
> как запретить пользователям ставить IP адрес самостоятельно, а
пользоваться
> только услугами DHCP сервера ?
>
> И попутно - по какому порту идёт обращение к DHCP ?
>
> Дмитрий Зуев.
> 1╘╜╘╝К┴╘j)· ╡с²з▒Й╡х²╘√)ф╩╤зЩ╘√)ф╩≥╗≥╘√+┼wЧfv╤z╩╡&
^ permalink raw reply [flat|nested] 8+ messages in thread
* [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса
2001-03-30 8:13 [mdk-re] RE: [mdk-re] Два вопроса Зуев Дмитрий Федорович
2001-03-30 9:05 ` [mdk-re] " Alexandre Redko
@ 2001-03-30 11:54 ` Вениамин
2001-03-30 12:18 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Roman Mediakov
2001-04-02 7:12 ` Alexandr Zhegallo
2001-04-02 11:18 ` Ivan Kudryashov
3 siblings, 1 reply; 8+ messages in thread
From: Вениамин @ 2001-03-30 11:54 UTC (permalink / raw)
To: mandrake-russian
> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.
А может, кстати(наводящий вопросик :)), можно как то аутентификацию(по
логину-паролю) присобачить к ipchains-у (или др. доступу к "шлюзу") ?
Никто не знает? Хотя бы теоретически это возможно?
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ
2001-03-30 11:54 ` Вениамин
@ 2001-03-30 12:18 ` Roman Mediakov
0 siblings, 0 replies; 8+ messages in thread
From: Roman Mediakov @ 2001-03-30 12:18 UTC (permalink / raw)
To: "÷ÅÎÉÁÍÉÎ"
Цитирую:
>> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
>> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.
В> А может, кстати(наводящий вопросик :)), можно как то аутентификацию(по
В> логину-паролю) присобачить к ipchains-у (или др. доступу к "шлюзу") ?
В> Никто не знает? Хотя бы теоретически это возможно?
Бог его знает...
Есть такая идея:
1. DHCPD где-то хранит свои логи.
2. Можно написать демона, который будет следить за ними и при
получении кем-либо IP-адреса по DHCP добавлять этот адрес в список
разрешённых к маршрутизации. При освобождении, соответственно,
удалять.
С уважением,
Медяков Р.В.
Управление ИТ
ОАО Уралтрансбанк
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ
2001-03-30 8:13 [mdk-re] RE: [mdk-re] Два вопроса Зуев Дмитрий Федорович
2001-03-30 9:05 ` [mdk-re] " Alexandre Redko
2001-03-30 11:54 ` Вениамин
@ 2001-04-02 7:12 ` Alexandr Zhegallo
2001-04-02 21:27 ` [mdk-re] RE: [mdk-re] Два вопроса Sergei
2001-04-02 11:18 ` Ivan Kudryashov
3 siblings, 1 reply; 8+ messages in thread
From: Alexandr Zhegallo @ 2001-04-02 7:12 UTC (permalink / raw)
To: mandrake-russian
> как запретить пользователям ставить IP адрес самостоятельно, а пользоваться
> только услугами DHCP сервера ?
>
> Дмитрий Зуев.
?? Если машины под NT , Win2000 , Linux - запаролить и не дать пароль
администратора ;-)) А если WIN95 или WIN98 - только административно . ;-)))
Моя машина - как хочу , так IP и ставлю ;-)))
--
Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
Я никак не смогу проконтролировать, что доступ _фактически_ будет
осуществляться с двух машин. Конечно , на свитче будет диагностика - типа IP
исползуется 2 раза ... а что делать - меры можно принять только
административные . Я стараюсь , чтобы сетки были поменьше , в них все на виду.
Александр Жегалло.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [mdk-re] RE: [mdk-re] Два вопроса
2001-04-02 7:12 ` Alexandr Zhegallo
@ 2001-04-02 21:27 ` Sergei
2001-04-03 8:06 ` Re[2]: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Roman Mediakov
0 siblings, 1 reply; 8+ messages in thread
From: Sergei @ 2001-04-02 21:27 UTC (permalink / raw)
To: mandrake-russian
30 Март 2001 13:10 Вы написали:
> > как запретить пользователям ставить IP адрес самостоятельно, а
> > пользоваться только услугами DHCP сервера ?
> >
> > Дмитрий Зуев.
>
> ?? Если машины под NT , Win2000 , Linux - запаролить и не дать пароль
> администратора ;-)) А если WIN95 или WIN98 - только административно . ;-)))
> Моя машина - как хочу , так IP и ставлю ;-)))
> --
> Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
> Я никак не смогу проконтролировать, что доступ _фактически_ будет
> осуществляться с двух машин. Конечно , на свитче будет диагностика - типа
> IP исползуется 2 раза ... а что делать - меры можно принять только
> административные . Я стараюсь , чтобы сетки были поменьше , в них все на
> виду. Александр Жегалло.
Есть 2 проги под названиями:
1. poledit
2. restriсk
3. wintune
С помощью них можно закрыть доступ к настройкам компа и к реестру. Например,
может вообще исчезнуть пункт главного меню "Настройка". С помощю этих прог я
в школе (!!!) заставил детей учиться, а не баловаться с Win95. Причем они
стоят уже 2-й год и ничего с ними не происходит.
------
Интересный момент с Win95: если щелкнуть на кнопку "Пуск" на панели задач,
потом нажать Esc, Alt - <серый минус>, то исчезнет эта кнопка! Правда, до
первой перезагрузки. Кстати, перезагрузка возможна только через Alt-Ctrl-Del.
------
Едиственный способ обойти - написать программу прямого доступа к реестру.
Только надо знать что где лежит.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re[2]: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ
2001-04-02 21:27 ` [mdk-re] RE: [mdk-re] Два вопроса Sergei
@ 2001-04-03 8:06 ` Roman Mediakov
0 siblings, 0 replies; 8+ messages in thread
From: Roman Mediakov @ 2001-04-03 8:06 UTC (permalink / raw)
To: Sergei
Цитирую:
>> Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
>> Я никак не смогу проконтролировать, что доступ _фактически_ будет
>> осуществляться с двух машин. Конечно , на свитче будет диагностика - типа
>> IP исползуется 2 раза ... а что делать - меры можно принять только
>> административные . Я стараюсь , чтобы сетки были поменьше , в них все на
>> виду. Александр Жегалло.
S> Есть 2 проги под названиями:
S> 1. poledit
S> 2. restriсk
S> 3. wintune
S> С помощью них можно закрыть доступ к настройкам компа и к реестру. Например,
S> может вообще исчезнуть пункт главного меню "Настройка". С помощю этих прог я
S> в школе (!!!) заставил детей учиться, а не баловаться с Win95. Причем они
S> стоят уже 2-й год и ничего с ними не происходит.
Можно ещё поставить ZENWorks (если сетка под Netware 4.11) - отличная
вещь!
S> Интересный момент с Win95: если щелкнуть на кнопку "Пуск" на панели задач,
S> потом нажать Esc, Alt - <серый минус>, то исчезнет эта кнопка! Правда, до
S> первой перезагрузки. Кстати, перезагрузка возможна только через Alt-Ctrl-Del.
Второй способ: через список задач снять explorer (сначала он покажет диалог
завершения работы, подождать 30 сек. и снять полностью), он
перезапустится и всё ОК. А уже в 98-й этого нету, а жаль - такой
первоапрельский прикол был ;-)
S> ------
S> Едиственный способ обойти - написать программу прямого доступа к реестру.
S> Только надо знать что где лежит.
Ещё одно предложение:
1. Берём программу wintune.
2. Берём программу regmon (www.sysinternals.com).
3. С помощью 1 закрываем доступ к Панели управления.
4. С помощью 2 смотрим, как 1 это сделал.
5. Формируем два reg-файла - restrict_on и restrict_off на основе
данных из 4.
6. Делаем на самбе кастрированный PDC и вставляем эти файлы в
логин-скрипты соответственно юзерам и себе.
С уважением,
Медяков Р.В.
Управление ИТ
ОАО Уралтрансбанк
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ
2001-03-30 8:13 [mdk-re] RE: [mdk-re] Два вопроса Зуев Дмитрий Федорович
` (2 preceding siblings ...)
2001-04-02 7:12 ` Alexandr Zhegallo
@ 2001-04-02 11:18 ` Ivan Kudryashov
3 siblings, 0 replies; 8+ messages in thread
From: Ivan Kudryashov @ 2001-04-02 11:18 UTC (permalink / raw)
To: úÕÅ×
äÍÉÔÒÉÊ
æÅÄÏÒÏ×ÉÞ
Hello, Зуев Дмитрий Федорович!
30.03.2001 08:18:33, you wrote:
ЗДФ> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
ЗДФ> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.
А как, кстати? Я, например, не знаю.
ЗДФ> Я тоже про это спрашивал, но сейчас вопрос в другом :
ЗДФ> как запретить пользователям ставить IP адрес самостоятельно, а
ЗДФ> пользоваться только услугами DHCP сервера ?
Никак. Это локальная установка, запретить её невозможно да и не нужно.
Это делается чисто организационными мерами и автопроверкой
соответствия MAC и IP адресов.
Подмена адресов (при систематическом использовании)легко распознаётся.
При риске получить в награду лишение 50% премии никто не полезет
заниматься ерундой.
Кстати, даже если ты поставишь такой запрет - это не панацея. Запрет
на выход в инет с других машин элементарно обходится установкой
маскарадинга на любую "законную" тачку. Проверить же его использование
без трансляции пакетов практически нереально. А разбирать все пакеты,
идущие с "законных" машин - никаких вычислительных мощностей не
хватит.
-------------------------------------------
С уважением,
Ivan Kudryashov <jony@chat.ru> ICQ 1547081
^ permalink raw reply [flat|nested] 8+ messages in thread