Chinaunix

标题: 请教让部分电脑不能上网的其它方法 [打印本页]

作者: blissday 时间: 2009-09-18 12:38
标题: 请教让部分电脑不能上网的其它方法
我们公司嘛，领导要求部分电脑不能上网，原本想在路由上（网关）封IP地址的，但没搭域，员工知道改IP地址，所以想用MAC地址进行封杀，\r\n但感觉MAC些许有些麻烦，所以想问各位下，有没有其它办法封一些不能上网的电脑呢。

作者: blissday 时间: 2009-09-18 12:50
我就想了下，IP地址封的话，在我们公司不实现，靠MAC封的话，又太麻烦了，要是搞个ISA防火墙的话，我对ISA不太感兴趣，而且，估计灵气转发能力还是没有路由器快，所以感觉有些不知所措

作者: h101com 时间: 2009-09-18 13:11
最好的办法，给他们固定的IP，用组策略限制不可更改

作者: sdasdf 时间: 2009-09-18 14:04
网线拔掉，实在不行，电源线拔了

作者: yoyosys 时间: 2009-09-18 14:22
封MAC好了，还怕麻烦，就不要封了

作者: sdasdf 时间: 2009-09-18 15:35
dhcp snooping and arp inspection 呢

作者: ssffzz1 时间: 2009-09-18 17:04
需要上网的有多少。\r\n\r\n不能上网的有多少。

作者: hyagami 时间: 2009-09-18 17:21
vlan，dhcp都能实现，感觉还是搭域，做策略表比较容易实现点

作者: wendaozhe 时间: 2009-09-18 17:36
用dhcp给他绑定一个不能上网的ip！

作者: hbfnjx 时间: 2009-09-19 12:35
mac可以实现，但要分析上网的有多少台

作者: ssffzz1 时间: 2009-09-19 12:38
但是这里还有一个问题。如果客户修改了MAC呢？？？？\r\n\r\n还是建议考虑做DOT1X之类的认证吧。如果可以的话。

作者: xyhey 时间: 2009-09-19 21:41
1，干掉网关\r\n2，确认登录用户无权修改IP设置

作者: ssffzz1 时间: 2009-09-20 12:31
DOT1X和域认证没关系。

作者: wj5g 时间: 2009-09-20 16:26
建vlan呀！要不就到防火墙上面作设置

作者: gilet 时间: 2009-09-21 13:31
员工改了MAC地址怎么办呢

作者: rover12421 时间: 2009-09-21 14:41
路由设置差不多了\r\n限制只允许***IP能上网加IP和MAC绑定\r\n基本就能实现了，不用太麻烦

作者: mikeken1205 时间: 2009-09-21 17:05
DHCP分配IP+IPTABLE限制上网 \r\n不限制的用固定IP

作者: warlock2008 时间: 2009-09-22 00:28
标题: 让部分电脑不能上网的其它方法
你可以在防火墙上作策略，把IP和MAC绑定，若要是谁修改的话，就上不了网！！！具体可以参考ASA或者PIX或者其他的手册。重要的是，你的ip分配策略要正确！！！

作者: paldos 时间: 2009-09-23 16:54
拨号上网，一机一号。

作者: unixnovice 时间: 2009-09-23 17:08
感觉封MAC是最好的办法了,其它的办法或许更麻烦

作者: sinlee 时间: 2009-09-23 19:43
直接设置路由内部限制

作者: bbjmmj 时间: 2009-09-23 22:12
服务器上用多端口网卡，上网的接一个端口，不上网的接一个端口。

作者: 北极星 时间: 2009-09-23 22:37
加个出口认证设备，凭用户名密码。。。。。。。。。。。。

作者: confucianes 时间: 2009-09-23 23:15
弱弱的问下：封MAC地址是怎么个封法，用ACL吗？

作者: yuhuohu 时间: 2009-09-24 10:27
现在很多交换机有端口绑定ip地址功能，一个端口只允许特定ip通过即可

作者: qishking 时间: 2009-09-25 08:44
绑定IP+mac,再封,可行方法,\r\n单封ip,mac 是可以改的

作者: zzjzzj227 时间: 2009-09-27 18:53
用自己带来的G3网卡一样可以上网，这年头没有行政干预，怎样都不行

作者: ssffzz1 时间: 2009-09-27 19:41
有软件可以做的。只准你开某个网卡，只准你用固定的IP固定的MAC.\r\n\r\n基本就叫做准入系统。\r\n\r\n搜索EAD.

作者: abc3w 时间: 2009-09-27 19:49
怕麻烦,你就什么也不要做,直接和老板说,已经按要求封了

作者: abc3w 时间: 2009-09-27 19:56
域+组策略+ISA 是个非常方便,又比较可靠的办法,用户帐户认证上网.

作者: whoiswhoz 时间: 2009-09-28 15:39
把他们的网卡拔了吧一了百了

作者: love4u 时间: 2009-09-28 19:36
找个支持IP,MAC绑定的路由设备,或者防火墙,凡是不在绑定范围内的PC都不允许数据包通过路由器不就完了?

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)