Как заставить сетевые машины получать IP-адрес от DHCP-сервера? [закрыто]
Как я могу заставить все сетевые машины получать IP-адрес от DHCP-сервера и запретить им вручную редактировать конфигурацию сети. Есть машины как с Linux, так и с Windows. Сервер DHCP - Debian. В настоящее время это работает, но если кто-то установит IP вручную со своего компьютера, у нас возникнет проблема.
Мой маршрутизатор не может быть настроен на принудительное использование DNS путем установки чего-то вроде DDWRT. Мы используем IP TV, и в роутер встроены эти настройки. Не могу это изменить. Как это сделать без помощи роутера?
Вы не можете управлять чужим компьютером. Если у кого-то еще есть доступ к машине «Администратор» или уровень суперпользователя, тогда все ставки отключены.
Вам лучше делать это в сети, где вы можете контролировать вещи. Я вижу, вы говорите «... без помощи маршрутизатора», но применение сетевой политики с помощью сетевого оборудования дает вам наилучшие шансы на положительный результат.
Если бы я собирался собрать это сам, я бы подумал об использовании чего-то вроде arpwatch для оповещения об изменениях пар MAC / IP. Вы даже можете связать сценарии для обнаружения и отключения портов на управляемом коммутаторе, если бы у вас было время написать сценарии (и, очевидно, у вас были управляемые коммутаторы).
Прежде всего, вы должны использовать управляемый коммутатор. Если вы не используете управляемый коммутатор, то ничто не мешает человеку с достаточными привилегиями на отдельных машинах просто подменить MAC-адрес другой машины. После подделки MAC-адреса невозможно определить разницу между ними.
С помощью управляемого коммутатора вы можете занести в белый или черный список определенные комбинации порта коммутатора и MAC-адреса. Вы также можете установить постоянные записи в CAM, чтобы коммутатор не изучал их на основе пакетов, обнаруженных в сети.
Это не предотвратит спуфинг ARP, но спуфинг ARP - это то, на что вы можете обратить внимание. Более продвинутые управляемые коммутаторы могут иметь функции предотвращения спуфинга ARP (если вы идете по этому маршруту, убедитесь, что коммутатор также может предотвратить спуфинг ND, иначе вы получите неприятные сюрпризы.)
В качестве альтернативы вы можете использовать возможность VLAN. присутствует на управляемых коммутаторах. Помещая два порта коммутатора в разные сети VLAN, они полностью разделяются. Это означает, что вам нужен маршрутизатор, способный выполнять маршрутизацию между тегированными VLAN.
Недостатком этого подхода является то, что весь внутренний трафик между отдельными хостами должен проходить через маршрутизатор. Связь между коммутатором и маршрутизатором может быстро стать узким местом.
Высокопроизводительные коммутаторы фактически представляют собой гибридный маршрутизатор и коммутатор в одном и том же чипе. Будет ли он вести себя как коммутатор или маршрутизатор, полностью зависит от конфигурации. Это может устранить узкое место. Вы можете перенастроить свой коммутатор, чтобы он работал как маршрутизатор.
Это действительно правильное направление, если вы хотите максимально изолировать его. Забудьте о коммутаторах и используйте только роутеры. Не покупайте коммутатор, если его нельзя перенастроить как маршрутизатор. Для многих случаев использования это было бы излишним.