Как запретить доступ к компьютеру некоего IP?
 

Собственно вопрос-нужно,чтобы персонаж с некоторым IP не мог присоединяться ко мне. Без помощи стороннего фаервола.
Когда-то где-то видел как это сделать с помощью командной строки...подскажите,пожалуйста.

route -p add ip_адрес_злоумышленника mask 255.255.255.255 кривой_ip_адрес

В качестве кривого ip адреса можно использовать, в принципе, любой ip-адрес из диапазона Вашей сети.
Главное - чтоб он не совпадал с Вашим адресом, адресом злодея, и адресом шлюза по умолчанию.

Например,
если у Вас сеть 192.168.0.0/24 и адрес негодяя 192.168.0.10, то что-нибудь типа
route -p add 192.168.0.10 mask 255.255.255.255 192.168.0.101
Будет лучше, если машины с адресом 192.168.0.101 в сети вообще нет.

Данную команду дать один раз, оно сохранится и будет применяться.
Слетит при изменении сетевых настроек.

p.s. Не забывайте, что не только негодяй не сможет к Вам попасть, но и Вы его в сети видеть перестанете.

И предлагает проверить таблицу IP-адресов.
Дело в том,что у злоумышленника адрес 10.* (внутренний сетевой),у меня 90.* (белый),шлюз тоже 90.*. Как тогда правильно написать команду?
Да,и ещё вопрос - как отменить сей бан по IP?

А как он попадает на твою машину? Если через шлюз с NAT'ом - то на твоем компе ничего не сделать, т.к. адрес входящих пакетов будет шлюзовый. Придется разбираться со шлюзом - запрещать конкретную пару его_адрес<=>твой_адрес

касательно моего примера - route delete 192.168.0.10

Кстати, если есть доступ к ЕГО компьютеру - сделать на его компьютере route -p add ТВОЙ_АДРЕС mask 255.255.255.255 кривой_ip_адрес . Если у него адрес 10.* - значит, кривой адрес на его компе тоже ставить из его сетки 10.*
Самое трудное - получить доступ к его компу. Или физически прийти туда, пока его нет на месте, или удаленно - через AT (имея админские права на его компе).

За НАТом-то он за НАтом,только вот видим мы друг друга напрямую,это локалка провайдера.

Можно через IPSec. В принципе достаточно настроить фильтр, действующий на обмен между своим ip и ip другой машины и применить правило на все протоколы.
Безопасность протокола IP (IPSec)
Блокирование определенных сетевых протоколов и портов с помощью IPSec
Через командную строку - netsh
Плодотворный союз Netsh и IPsec
Примеры использования технологии IPSec

Последняя ссылка помогла: сделал по аналогии запрет на пару адресов-вроде помогло... Спасибо.

...новая проблема. Вышеупомянутый злоумышленник теперь имеет динамический IP-адрес, транлислируемый, однако, на DNS-имя вида *.no-ip.org. Думается, теперь оградиться от него можно только если фильтр будет отслеживать изменения IP этого адреса и уже тогда применять политику запрета.
Пробовал указывать вместо IP этот DNS-адрес - на момент создания фильтра IP ловится, а вот обновляться при изменениях-не хочет.
Помогите.

ipconfig /flushdns - сохранить как flushdns.bat и периодически запускать (в планировщик можно поставить)
Ну или Отключение кэширования DNS на стороне клиента в Windows XP и Windows Server 2003

То есть, если я правильно понял, эта команда очистит записи кеша DNS(у меня там нашлось всего 12 записей) и IPSec будет заново узнавать IP указанных в нём DNS-имён?

Delion Soulblade, ОС заново будет сопоставлять ip с DNS именами и снова сохранять в кэш до следующего ipconfig /flushdns, имхо проще или отключить кэширование или настроить в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters
MaxCacheTtl
А через IPSec блокирование сразу всего диапазона адресов (подсети) не хотите настроить?

ОС понятно, но вот конкретно IPSec будет ли каждый раз после очистки кеша\коннекте злоумышленника после очистки кеша проводить lookup DNS, или так и остановится на том IP ,что выявился при создании фильтра - вот это критично знать.
Банить диапазон никак нельзя, иначе ресурс лишится 15*255 потенциальных пользователей...

Delion Soulblade, ОС будет спрашивать у DNS сервера сопоставление dns имени и ip адр., если не найдет в кэше запись, т.е. предположим злоумышленник получит новый ip, этот ip пропишется на dns сервере, если после этого на компьютере где действует политика IPSEC выполнится flushdns (или истечет время хранения кэша), то злоумышленник будет блокироваться, впрочем вы это можете экспериментально проверить.

Pili, вышепредложенный способ не работает.
:dont-know

Delion Soulblade, после flushdns
ping по dns имени какой ip адрес показывает? Если правильный - должно работать, м.б. вы разные DNS используете и на вашем DNS сервере запись не успела обновиться?

Что значит "если правильный"? Мы ведь вообще не должны обращать внимания на его IP. В IPSec фильтр не обновляет исходный IP,если Вы об этом.
И совсем непонятно причём тут DNS-сервер, если в локалке, через которую мы и соединяемся, DNS-имя злоумышленника, которое я могу видеть при соединении, зависит от его IP и никак не связано с тем, что получено им через сервис no-ip.com

это значит текущий ip
фактически блокирование все равно происходит по ip
IPSec сам не кэширует, но может брать сопоставление dns имени-ip из кэша, если там есть запись, чтобы очистить кэш, требуется ipconfig /flushdns, в принципе можно отключить службу DNS-клиент, тогда кэшироваться не будет и каждый раз будет сопоставление dns имени и ip будет запрашиваться у DNS сервера, команда ping позволит убедиться, что dns имени соответствует новый ip (если icmp не закрыт) и ещё обновит кэш (если служба DNS-клиент работает), если вы используете разные DNS, то на вашем DNS запись о новом ip злоумышленника могла не успеть обновиться, тогда отключение службы DNS-клиент и ipconfig /flushdns не поможет, в таком случае ping по dns имени скорее всего (смотря как dns сервер настроен) выдаст "старый" ip и request time out (даже если icmp на той стороне разрешен)
точнее злоумышленник, получая новый ip адрес автоматически регистрирует его на "своем" DNS сервере
а при чем тут сервис no-ip.com?
Вы пробовали применить ipconfig /flushdns, далее ping по dns имени и проверить работает правило или нет? (можно для тестирования попробовать с др. машины попытаться установить соединение)

Ну как раз DNS-имя от этого сервиса и вписано в фильтре,его и использует злоумышленник.
Я очищал кеш, ждал несколько минут, и, не изменяя ранее созданное правило (оно зеркальное, cоздано как DNS-имя <-> любой IP), пробовал соединиться со злоумышленником. Соединение мгновенно проходило.

Delion Soulblade, проверять лучше с внешнего компьютера с тестовым похожим правилом,
В кэше днс до и после такой проверки записи сравнивали? Перед проверкой выполните ping DNS-имя
no-ip.com целиком нельзя запретить?

К сожалению такой возможности нет.
Там нет записей для нужного мне DNS-имени. Ни до, ни после. Пинг не проходит, хотя коннект к злоумышленнику возможен.

Up.
Есть ли ещё варианты решения моей проблемы?

Up2.
Тема всё ещё актуальна.
Ну или в крайнем случае какой фаервол такое умеет.