Защита сервера от присвоения IP недругом

Spooner · Отправлено: **08:36, 28-11-2008** | #2

Какие ещё танцы, если IP занят? Это надо попасть в тот момент, когда сервер волшебным образом будет в оффлайне, и тогда включить ноут.
Если же рассматривать ситуацию с точки зрения поставленного вопроса, то спасут управляемые свичи с VLAN'ами и управлением портами. Например, выдаёшь на порт строго один IP с определённым MAC. Если кто-то другой попробует подключиться к порту, получит фигу. Так же можно присвоить VLAN определенному набору портов, в котором IP выдаётся через DHCP, и любой другой, прописанный вручную будет получать DROP для любого пакета.
Программного решения этой проблемы я не знаю

Скорее всего, его нет.

Delirium · Отправлено: **08:48, 28-11-2008** | #3

Цитата Spooner:

Это надо попасть в тот момент, когда сервер волшебным образом будет в оффлайне, и тогда включить ноут. »

Не согласен. Сервер может быть и включен. Просто я назначаю IP до того, как включу кабель в сетевуху. В этом случае мне никто не сможет отказать в присвоении такого адреса.

Интересует, есть ли именно программное решение, аппаратное то понятно, что существует

Spooner · Отправлено: **09:20, 28-11-2008** | #4

Какая разница, когда назначать IP?
Единственный способ присвоить адрес - задосить или отключить физически удаленный хост.

Michael · Отправлено: **09:30, 28-11-2008** | #5

Цитата Delirium:

Просто я назначаю IP до того, как включу кабель в сетевуху. В этом случае мне никто не сможет отказать в присвоении такого адреса. »

Если не ошибаюсь, то в таком случае срабатывает принцип "Кто первый встал, того и тапки". По крайней мере специально попробовал - отключил шнур от ПК2 и назначил ему адрес как у работающего и находящегося в сети ПК1, после этого подключил шнур обратно. ПК1 заявил "Конфликт IP-адреса с другой системой в сети", но продолжил нормально работать (по крайней мере исходящие пинги шли и можно было заходить на шары других компов. А вот у ПК2 минут 10 висело "Получение сетевого адреса"(потом просто ждать надоело и я поставил обратно динамику), соответственно ipconfig /all выдавал ip: адрес 0.0.0.0, маска подсети: 0.0.0.0.

Oleg Krylov · Отправлено: **10:00, 28-11-2008** | #6

Цитата Spooner:

Какая разница, когда назначать IP?
Единственный способ присвоить адрес - задосить или отключить физически удаленный хост. »

Или ARP-spoofing. Delirium, товарищ прав. На уровне протокола никак, только железками.

AndrewShan · Отправлено: **16:13, 28-11-2008** | #7

В свое время столкнулся с похожей проблемой у на прошлой работе, грабли строил сам.
Был у нас сервер LTSP (с тонкими клиентами) под Линукс. Понадобилось мне собрать тестовый и настроить, да так чтобы еще и инет был. Пока возился, умотался и случайно перепутал сетевые карты. Воткнул в гнездо, что для тестовой сетки, провод с внутренней сетки. Сервер (рабочий) был сбит с ума, а тонкие клиенты переключились на мой. В итоге перезагрузка клиентов и отключения провода было решением.
Похожая ситуация была, когда случайно не так настроил виртуальную машину с win2k3.
Это так, из жизни.

Porecla · Отправлено: **08:39, 29-11-2008** | #8

Немного поможет безопасное обновление DNS.
Свойства DNS -> динамическое обновление, флаг только безопасное.

Правда к ip это не очень относится )))) От других случаев больше.