Как защитить локальную сеть от подключения незарегестрированых пользователей
 

Всем привет !

Есть локальная сеть, есть сервер с ОС ASPLinux server V.
Я настроил sendmail, FTP-server, DNS-server, WEB-server и DHCP
Все пользователи локалки получают настройки автоматом от DHCP.
За каждым ПК зарегистрирован ip и привязан к его MAC

Но есть проблема, есть пользователи которые приносят незарегистрированные ПК, подключаются к свичу и ручками прописывают любой свободный ip, маску, шлюз и пользуются всеми благами локалки. ( это на работе и запрещено руководством, я естественно не могу бегать по кабинетам и смотреть кто чего подключил)

Некоторые вообще оборзели, прописывают ip колеги, пока его ПК выключен

Я не администратор по професии, но сказали сделать, вот и делаю

Возможно ли это как то пресечь такое нелегальное подключение ?

Вы хотите что-бы чужие компы не могли вообще в сети работать, или что-бы у них просто не было возможности выйти в интергнет?

Я хочу что бы при попытке подключения к сети, они не смогли вообще получить ip адрес нашей сети, даже если они будут прописывать его ручками на своём ПК, как писал выше

Это нереализуемо. Другое дело, если для работами с сетевыми службами компьютеров вашей сети требуется авторизация на сервере ldap, или что-то в этом роде.

palexa, какой коммутатор (свич) используется в организации?
Предположу привязку MAC адресов к портам онного, если оннный позволяет такое делать.

Так на современных компьютерах maс адреса так-же легко меняются, как и ip адреса.

Да, я понял что задача запрета присвоения ip, просто не реальна

Я пошёл другим путём

В результате указанный метод позволяет просто не пустить на сервер ПК, которых нет в списке static.arp (ip+mac)

Но ip машине никто не сможет запретить присвоить ip, ведь сервер не эмулирует, что ip занята (А может можно запретить ?). Поэтому "захватчик ip" сможет видеть другие компы (а для этого, мы все компы засунем в домен) и доступ к ним по ftp (разрешим доступ на ПК с FTP , только членам домена), создаст трудности реальному владельцу ip (если захватит чужую ip, а не свободную)

Дальше сервера, так как я его сделал шлюзом, он никуда пробиться не сможет (точнее он даже сервера увидеть не сможет)

Скромно, но без управляемых свичей, остальное просто нереально, я сделал такой вывод

Круто.

Тут поможет только изоляция доступа к сетевому оборудованию.

Всё правильно, не администратор, просто мозги немного работают ещё, не совсем отупел в армии

В принципе если пойти путём, что в моём предыдущем посте, то всё ок, реально чужому не будет смысла подключаться и подбирать ip, потому что толку не будет, ПК просто не увидит сервера

Но всё это хорошо, только в пределах одной локальной доменной сети, а вот если эта сеть через - шлюз (сервер) - маршрутизатор - имеет связь с другими сетями, то не канает, потому что сайт и почта из других сетей будет недоступна (я так думаю, в четверг прийду проверю)

Если правильно настроен маршрутизатор (port forwarding) то почта и сайт будут доступны.
Вопрос надо ли это в других сетях? Контроль порядка никто в них не обещает.
(Но это мы несколько не в тему залезли :) )

Так в том то и дело, что сайт должен быть доступен из других сетей, а так же есть пользователи почты, ПК которых в другой сети

Если предполагаете должен, если правильно настроен маршрутизатор (port forwarding) и будет работать, то может наш админ транспортной сети поможет с этим, только вот надо бы это как то сказать, что бы он понял ( может он не знает что это такое, как и я )

Может растолкуете, на "хлопцкий розум"