|
||
|
Power Member
 加入日期: Dec 2006
文章: 601
|
請問網管網友,你們怎麼找出盜用他人ip的MAC,進而把那個port的MAC banned 掉 ?
您好,
想請教一下 如果有user 設到其他合法user的ip (這些user通常下班就關電腦了) 讓合法的user無法取得ip (早上上班時才發現ip已被人先設) 那要怎麼讓他們釋放出ip,且進一步把他們的MAC banned掉 ? 我的想法是用ARP找出他的MAC 然後 ? Q : 我要怎麼快速知道他是接在那個switch上 ? 假設switch有很多台的話 (假設我先traceroute知道他在那台router附近) 知道他是接在那台switch的那個port上後 我才有辦法針對該port設port security 指定該port的靜態MAC (只要跟他不一樣即可) 這樣他就連不到switch 他佔用的ip也就被釋放 合法使用者也就可以設ip了 現在就是不知道要怎麼快速找到他是接那台switch ? 還是你們有更先進的做法 ? 指點一下吧 謝謝 還有,如果要把他們的 MAC banned, 是要怎麼設 ?在那個機器設 ? layer 2 or layer 3 ? router好像無法ban mac ?只能設 ACL ? switch好像也不能ban 某特定MAC, 只能說那個port指定那個MAC (我是用cisco 2950 和2600, 其他廠牌的就不知) 感恩 |
|||||||
2007-04-13, 09:47 AM
#1
|
|
|
Elite Member
  加入日期: Oct 2002
文章: 4,801
|
你要做的第一件事
就是把修改IP與安裝程式權限收回 不然你事情會做不完 如果有部份沒辦法控管的 就採取隔離政策 不要全部混在一起
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
||
|
2007-04-13, 09:59 AM
#2
|
|
|
Power Member
加入日期: Dec 2006
文章: 601
|
恩
您好 有些事都無法控制 因為也不是什麼重要的組織 有嚴格的網路規劃設計和控管 最常見的就是實驗室中學生帶自己nb和hub (這我沒權力管) 直接就設人家ip了 您說的隔離是 ? 還是說在 gateway上 做ip與mac的認證 (這要怎麼做呢 ? ) |
|
2007-04-13, 10:21 AM
#3
|
|
|
Elite Member
加入日期: Jan 2002
文章: 4,032
|
嗯? 樓主好像在另一個友站有問過的樣子....不是已經有人回答過你了??
還不夠嗎? 好吧...我給你一個建議.... 如果公司的PC是用Windows 2k/XP 的話 , 建議你別讓user用Administrator身份login , 不然他們就會給你 改東改西的 , 只給他們Power user的權限就可以工作了!! 另外,還是去清查每一台PC的MAC , 逐一鎖掉!! 這樣就應該可以解決了...
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
|
2007-04-13, 10:23 AM
#4
|
|
|
Elite Member
加入日期: Jan 2002
文章: 4,032
|
引用:
別想太多 , 我記得這招是商業化的Firewall具有的功能 , 有些還可以 結合AD認證之後才能上網!! 你問怎麼做,那也要問問人家願不願意告訴你!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
|
|
2007-04-13, 10:29 AM
#5
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,801
|
隔離就是用router也好
用VLAN也好 直接物理隔離也好 把自生自滅區與受控管區隔開 你的環境只要每個人都有能力與權限裝設任何網路裝置與設定網路組態 也拿不出迫力進行整頓 只有放給他死一途可走吧
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|
2007-04-13, 10:37 AM
#6
|
|
|
Power Member
加入日期: Dec 2006
文章: 601
|
引用:
我只有在這各站第一次問 請問怎麼鎖MAC ? 是指針對合法user的MAC記錄下來在switch ? thank you very much 而且我是幫別人問的 哈 我不是網管 |
|
|
2007-04-13, 10:37 AM
#7
|
|
|
Power Member
加入日期: Dec 2006
文章: 601
|
引用:
其實我覺得這不會很難 一個簡單的firewall 特定MAC和ip才forward 或者是linux iptable 只是那台load可能會很重 也不知道要怎麼分散 分散式的gateway? |
|
|
2007-04-13, 05:08 PM
#8
|
|
|
Major Member
加入日期: Nov 2001
文章: 298
|
把網路線給剪掉, 隔離程序終了.... XD
|
|
2007-04-14, 11:12 AM
#9
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,107
|
linux不是不能濾MAC address,是要用ebtables濾而非iptables濾,只是這麼做loading會比濾IP高很多(若只是要濾通往gateway的traffic可能還好
 ),而且user會改IP,難不成就不會改MAC address嗎(有不少網卡的driver就有選項能改MAC address了 ),真要徹底解決這個問題還是應該由user接上來的switch著手才比較實在吧 ....
__________________
士大夫之無恥,是謂國恥  ....
|
|
2007-04-14, 01:08 PM
#10
|
|
