Freesco, NND, CDN, EOS

witam
Jak sobie w cywilizowany sposob poradzic z userem ktory zna pule adresow ip uzywanych w sieci (sa one przydzielane statycznie) oraz mac adresy kart sieciowych ustawia on akurat nieuzywany adres ip wraz z mac adresem przypisanym do tego ip (za pomoca pliku ethers i tablicy arp) i korzysta z internetu z ktorego domyslnie nie ma prawa korzystac. Czy jedyne rozwiazanie to ciapnac mu kabelek?

pozdrawiam

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

nie napisales jak jest poslączony.
rozwiazaniem moze byc pppoe ale sa i prostrze metody.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

A po jaką cholerę on to robi ?!?
Jeżeli nie ma mieć neta (bo np. nie płaci) - to rozwiązanie nasuwa się samo (szczypce z bocznym cięciem).
A jeżeli ma mieć, to najpierw pogadałbym z nim, a jeśli to nie przyniesie skutku, to patrz pkt.1.

_________________
F33/F07,F11,F13,F17

podlaczony jest wg ponizszego schematu.

Komp intruza<---switch 8portow<----switch 32porty<----NND---->DSL

To jest szkoła gdzie sa dwa lacza DSL jedno rozdziela internet dla 4 pracowni (po 15 kompow kazda)a drugie lacze dzieli go dla kancelarii, ksiegowosci, kadr itd oraz dla komputerow stojacych na zapleczu roznych pracowni, wiec intruz ma dostep do innych komputerow korzystajacych z sieci zgodnie z polityka bezpieczenstwa obowiazujacej w szkole dzieki czemu moze sobie dowolnie zmieniac adresy ip i mac adresy. Internet zostal odlaczony po stwierdzeniu faktu sciagania filmow "przyrodniczych" i muzyki, zajmujac w ten sposob 50% przepustowosci łącza i wiecznie uskarzajac sie na wolno dzialajacy internet. Wizyta u intruza z prosba o zaprzestanie dzialalnosci nic nie przyniosla a ja nie bardzo lubie uskarzac sie przelozonym na niesfornych uzytkownikow i wole te sprawy zalatwiac bezposrednio z nimi. W sieci do ktorej jest podlaczony komp intruza pracuje okolo 50 kompow. Problem z dostepem na haslo polega na tym ze prowadzi on zajecia z klasa o profilu logistycznym, ktora musi miec dostep do internetu na zajeciach, co sila rzeczy wymusza udostepnienie ewentualnego hasla dostepowego.

pozdrawiam

moze troszke badziej restrykcyjne zasady firewall'a?
Blokada portu 21, ipp2p -drop dziala calkiem skutecznie. Wiec jak moze p2p dzialac nie bedzie da sobie spokoj?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

zainteresuj sie profesionalna instalacja sieciowa jak dysponujesz troche gotowka doklanie chodzi mi o Switche zarzadzalne i problem znika sam

_________________
CCDP CCNP CCIP

No to się nie uskarżaj, tylko powiedz gościowi, że albo rybki albo... akwarium i jak dalej sobie będzie robił jaja to go CIACH.

A tak całkiem poważnie: jak mówi eptesicus - switch zarządzalny załatwia sprawę. Można np. tak go ustawić, że dany port będzie gadał tylko i wyłącznie z jednym, konkretnym MAC-kiem. A wtedy statyczny ARP zrobi resztę.

_________________
F33/F07,F11,F13,F17

Zaraz... zgodnie z polityką bezpieczeństwa może sobie zmieniać IP? Co to za polityka bezpieczeństwa? Minister Giertych ją wymyślił? Chyba jestem do tyłu...
Ale zacznijmy od początku. Kim ty tam jesteś w tej szkole? Informatykiem - administratorem, nauczycielem informatyki? Uczniem, który społecznie serwer postawił? Kim jest ten gość, który tak sobie IP zmienia? Odpowiedz mi na te pytania, a ja ci powiem co dalej...

_________________
Belfer.one.PL
Audio Cafe

dostep do internetu ma ten kto dysponuje laczem 2kB/s i ten co ma 100kB/s a jest wiele sposobow zeby dostep byl do www a inne uslugi nie pracowaly.

Maćku
Nie postawilem przecinka w odpowiednim miejscu. Chodzi o to ze inni uzytkownicy korzystaja zgodnie z polityka bezpieczenstwa, a ten jeden jest niepokorny. W tej szkole pelnie zaszczytnie (czytaj spolecznie) funkcje administratora. Jesli przeczytales moj post uwaznie to napisalem ze jest to gosc ktory prowadzi zajecia w tej szkole z klasa logistyczna a co za tym idzie jest nauczycielem, ktory ma kompa na zapleczu wlasnej pracowni.

pozdrawiam

omg to jaki masz problem jak gość robi jakieś problemy a pretensje maja do ciebie to zgłoś dyrekcji szkoły i po kłopocie

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

Pytałem dlatego, że sam jestem administratorem sieci w szkole i nie bardzo wyobrażam sobie sytuacje przez ciebie opisaną.
Rozumiem, że dwa dsle powodują iż w szkole są oddzielne fizyczne sieci. Jedna biurowo-administracyjna i druga dla pracowni szkolnych. Ten nauczyciel rozumiem korzysta z komputera w sieci drugiej. Piszesz, że są tam 4 pracownie. Zatem czy w pracowniach są serwery kontrolujące klientów (jakieś sbs)? Jeśli tak, to zaden komp kliencki nie powinien być podłączony poza nimi. Zakładam, że komputer użytkowany przez nauczyciela jest komputerem szkolnym, a nie prywatnym. Krok pierwszy to założenie restrykcji na tym właśnie komputerze (nawet jeśli to win98 to da się to zrobić poleditem) - wyłączenie dostępu do ustawień sieciowych. Po drugie - jeśli są sbsy mozna ustawić to tak, że jeśli nie zaloguje się do domeny, to nie będzie miał dostępu do niczego. Po trzecie wreszcie polityka bezpieczeństwa szkolnych sieci przewiduje założenie ograniczeń na treści, które w tej sieci można oglądać. U mnie w szkole używam na głownej bramie systemu IPCop ze squidem oraz SquidGuardem, Oprócz domyślnie aktualizowanych reguł tego ostatniego mam własną blacklist i whitelist, dlatego w szkole nikt nie zobaczy stron, które w szkole domyślnie powinny być zablokowane (pornografia, faszyzm, przemoc, rasizm itp.). Jak straci możliwość hulania swobodnie po necie to też mu odbierze chęć na eksperymenty. Poza tym nie wyobrażam sobie, żeby w mojej sieci ktoś dowolnie instalował sobie oprogramowanie. W razie takiego przypadku jest jedno ostrzeżenie tylko (zresztą to teoria - bo jak użytkownik nie ma uprawnień, to ma też małe możliwości).

_________________
Belfer.one.PL
Audio Cafe

Z pracowniami nie ma problemu bo dzialaja one pod kontrola sbs2000 lub 2003 , wspomniany nauczyciel jest podlaczony do sieci administracyjno-biurowej a komputer stoi na zapleczu pracowni ktora on sie opiekuje.
Komputer jest szkolny ale nikt nie ma dostepu na to zaplecze poza wspomnianym panem. Komp zostal zlozony przez uczniow na jakas prace dyplomowa i przekazany wlasnie do tej pracowni, gosc zainstalowal sobie nielegalny winXP pro , moje prosby i grozby nic nie pomogly bo on uwaza ze to co jest udostepnione w internecie moze pobierac i instalowac do woli.

pozdrawiam

Przede wszystkim w takim układzie odłącz go od sieci biurowej - jest to niedopuszczalne, powinien być podłączony do pozostałej części sieci. Niech się podłączy do switcha w pracowni i to już mu ostudzi zapędy do ściągania (sbs nie puści mu całej masy plików). Fizycznie nie powinien mieć możliwości podpięcia się do sieci biurowej! Jeśli nawet są jakieś switche, to powinny być zamknięte i niedostępne dla użytkowników.
Ponadto, żeby zbliżyć sprawę do NND, o którym tu jest trochę mało, zainstaluj squida i squidguarda, aby filtrować treści.

_________________
Belfer.one.PL
Audio Cafe

P A R A N O J A

Po pierwsze uswiadom gościowi że popełnia przestępstwo.
Po drugie odpowiedzialniść za w/w przestępstwo równiez moze ponosic Administrator sieci oraz dyrektor szkoły, który dopuścił do używania nielegalnego oprogramowania.

Piersza rzecz jaka musisz zrobic jako administrator to opracowac decyzje dyrektora w kwestii używania komputerów w szkole, oprogramowania i odpowiedzialności.
A drugą to wyegzekwowanie jej. konkretnie to format c:\

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz