[ruslandh]

Вы хотите что-бы чужие компы не могли вообще в сети работать, или что-бы у них просто не было возможности выйти в интергнет?

[palexa]

Я хочу что бы при попытке подключения к сети, они не смогли вообще получить ip адрес нашей сети, даже если они будут прописывать его ручками на своём ПК, как писал выше

[ruslandh]

Это нереализуемо. Другое дело, если для работами с сетевыми службами компьютеров вашей сети требуется авторизация на сервере ldap, или что-то в этом роде.

[lxa85]

palexa, какой коммутатор (свич) используется в организации?
Предположу привязку MAC адресов к портам онного, если оннный позволяет такое делать.

[ruslandh]

Так на современных компьютерах maс адреса так-же легко меняются, как и ip адреса.

[palexa]

Да, я понял что задача запрета присвоения ip, просто не реальна

Я пошёл другим путём

В результате указанный метод позволяет просто не пустить на сервер ПК, которых нет в списке static.arp (ip+mac)

Но ip машине никто не сможет запретить присвоить ip, ведь сервер не эмулирует, что ip занята (А может можно запретить ?). Поэтому "захватчик ip" сможет видеть другие компы (а для этого, мы все компы засунем в домен) и доступ к ним по ftp (разрешим доступ на ПК с FTP , только членам домена), создаст трудности реальному владельцу ip (если захватит чужую ip, а не свободную)

Дальше сервера, так как я его сделал шлюзом, он никуда пробиться не сможет (точнее он даже сервера увидеть не сможет)

Скромно, но без управляемых свичей, остальное просто нереально, я сделал такой вывод

[DJ Mogarych]

Цитата palexa:

Я настроил sendmail, FTP-server, DNS-server, WEB-server и DHCP Все пользователи локалки получают настройки автоматом от DHCP. За каждым ПК зарегистрирован ip и привязан к его MAC »

Цитата palexa:

Я не администратор по професии »

Круто.

Цитата palexa:

подключаются к свичу »

Тут поможет только изоляция доступа к сетевому оборудованию.

[palexa]

Цитата DJ Mogarych:

Я не администратор по професии » Круто. »

Всё правильно, не администратор, просто мозги немного работают ещё, не совсем отупел в армии

В принципе если пойти путём, что в моём предыдущем посте, то всё ок, реально чужому не будет смысла подключаться и подбирать ip, потому что толку не будет, ПК просто не увидит сервера

Но всё это хорошо, только в пределах одной локальной доменной сети, а вот если эта сеть через - шлюз (сервер) - маршрутизатор - имеет связь с другими сетями, то не канает, потому что сайт и почта из других сетей будет недоступна (я так думаю, в четверг прийду проверю)

[lxa85]

Цитата palexa:

если эта сеть через - шлюз (сервер) - маршрутизатор - имеет связь с другими сетями, то не канает, потому что сайт и почта из других сетей будет недоступна »

Если правильно настроен маршрутизатор (port forwarding) то почта и сайт будут доступны.
Вопрос надо ли это в других сетях? Контроль порядка никто в них не обещает.
(Но это мы несколько не в тему залезли :) )