Chinaunix

标题: 怎么能限制他IP呢！现有网络能解决吗 [打印本页]

作者: POWERS 时间: 2004-05-18 10:32
标题: 怎么能限制他IP呢！现有网络能解决吗
我们网络环境是这样：PIX防火墙做PAT，
                  内网地址为10.10.10.0段
                  内网用2000下的DHCP分配IP
现在我在DHCP里的保留IP里已经做了IP与MAC地址的绑定
PIX里也做了arp inside 10.10.10.182 000a.e611.6893 alias（永久）绑定
还做了outbound  10 permit 0.0.0.0 0.0.0.0 80 tcp
      outbound  10 except 10.10.10.171 255.255.255.255 80 tcp

情况是：当时设定完后完全可以限制他上网，可他自己更改指定IP我这没有任何办法，在PIX里SHOW ARP 结果关于000a.e611.6893MAC地址的IP竟然有2个一个是我设定的另一个就是他改的，等于我PIX里和DHCP里的设定没有任何作用
各位老大们怎么办啊，这都限制不了，我还干不干了

作者: xilun 时间: 2004-05-18 11:59
标题: 怎么能限制他IP呢！现有网络能解决吗
这个问题一直是大家讨论的问题。
绑定MAC地址永远都限制不了用户的上网，原因是用户可以自己更改网卡的MAC地址。
最好的方法是行政手段，加上通过配置代理控制用户上网。

作者: mazu 时间: 2004-05-18 12:04
标题: 怎么能限制他IP呢！现有网络能解决吗
针对这种人为因素,技术只是一个辅助手段,加大管理力度更为重要

作者: POWERS 时间: 2004-05-18 12:13
标题: 怎么能限制他IP呢！现有网络能解决吗
霍霍，他不会改MAC地址的！！在这种情况下我怎么也不能让他绑顶固定的IP呢，是不是我哪做的不对，请赐教！

作者: 性感小肥猪 时间: 2004-05-18 13:01
标题: 怎么能限制他IP呢！现有网络能解决吗
　楼主如你用域控制的话,可看看下面的!

如何禁止使用拨号、禁止修改IP地址？

Author: Adam

在一个大型的网络，出于安全的考虑，网络管理员可能不允许用户随意修改自己的IP地址、不允许用户使用拨号连接，初一看好像没有什么好办法，前段时间刚好有客户提出了不想让用户拨号的要求（技术部门无法对电话交换机无法进行管理），于是想了想，今天作一个总结。

客户使用了Windows 2000的AD结构，而且Clinet基本都是Win2K Pro，分区类型有NTFS和FAT，本来如果都是用的NTFS的话，对一些DLL文件进行权限设置也可以满足，我这里选择的是raschap.dll，当然，类似的DLL也有一些（俺也懒得整理了），在CMD窗口执行下面的命令：
cacls %systemroot%\system32\raschap.dll /e /d everyone

然后重新启动机器，你会发现你已经建立好的拨号连接都看不到了，而且在你新建连接的时候会出错，报告权限不足。如果需要用的时候，把该dll的权限改回来即可（需要重新启动机器喔）
cacls %systemroot%\system32\raschap.dll /e /g everyone:r

由于客户使用的是AD结构，设置权限可以在组策略里面来实现，把下面的内容加到你的安全模板文件的"File Security"段，然后应用该模板即可。 "%systemroot%\system32\raschap.dll",1,"D

AR(D;OICI;FA;;;WD)"
当然，在这里出现了一个这样的问题，如果磁盘是FAT或者FAT32就无法应用NTFS权限来解决了，我们就只能在注册表里面想办法了，打开你的Regedt32，转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

然后在菜单上的“安全”－“权限”
uncheck “允许继承...”，并设置为Everyone只读，一切OK；
如果需要应用在AD中我们可以在组策略的inf文件中的“Registry Keys”段里添加以下一行 "machine\system\currentcontrolset\services\tcpip\parameters\interfaces", 0, "D:AR(A;CI;KR;;;WD)"

设置了注册表的权限后，系统无法从 DHCP 服务器上获取IP，无法自己修改IP，很多与网络相关的修改都无法成功，当然，如果你公司内部使用了DHCP就会出问题喔...

作者: 性感小肥猪 时间: 2004-05-18 13:07
标题: 怎么能限制他IP呢！现有网络能解决吗
还有,如你的交换机支持管理的话,可从交换机上进行控制!使用交换机提供的端口的单地址工作模式

作者: POWERS 时间: 2004-05-18 13:21
标题: 怎么能限制他IP呢！现有网络能解决吗
霍霍，非常感谢性感小猪！交换机设置不现实，他是笔记本，拿着满楼跑，找个口就插上了，我只是知道他网卡的MAC地址，我就奇怪的是PIX既然有ARP永久绑定功能为什么在他的ARP表里润许一个MAC地址可以和2个以上的IP做绑定，DHCP里的保留好象也没任何作用，别人照样能占用这个IP

作者: fushuyong 时间: 2004-05-19 07:53
标题: 怎么能限制他IP呢！现有网络能解决吗
^_^，碰到这种拿笔记本满楼跑的人，那可真是没什么好办法了。如果真的看他不爽的话，就把网络管理部门的兄弟叫齐了去扁他一顿。

作者: POWERS 时间: 2004-05-19 22:23
标题: 怎么能限制他IP呢！现有网络能解决吗
哦，谢谢！！继续求解

作者: mazu 时间: 2004-05-19 22:32
标题: 怎么能限制他IP呢！现有网络能解决吗
我觉得类似这种问题只能通过鉴权的方式对他进行控制了，譬如上面提到的域控制

作者: Robinhood 时间: 2004-05-20 09:17
标题: 怎么能限制他IP呢！现有网络能解决吗
1，纯软件无法完全解决问题；
2，不花钱无法完全解决问题；
有种产品叫计费控制网关，运营商和酒店常用的，不过现在已经走向企业了。
将该设备以透明方式插入到网络出口处，可以强制出网用户进行身份认证（不认证就上不了网），同时还可以进行IP和MAC与用户身份的绑定（在最严厉的状态下，IP、MAC、用户名、口令必须全部吻合），可作时间策略，同时支持第三方认证。

作者: POWERS 时间: 2004-05-20 12:27
标题: 怎么能限制他IP呢！现有网络能解决吗
谢谢楼上的“Robinhood ”那就是说实际买个4层-7层的交换机也就可以解决了！或者买这种控制网关

作者: POWERS 时间: 2004-05-20 13:50
标题: 怎么能限制他IP呢！现有网络能解决吗
还有为什么没有基于MAC地址的控制列表呢！！之间直接不让一个MAC地址路由出去不就行了，问题是不是很弱质啊

作者: 大米VS小米 时间: 2004-05-20 14:53
标题: 怎么能限制他IP呢！现有网络能解决吗

不知道你用的交换机可不可以进行IP与MAC地址的绑定，如果可以，试试看！

作者: POWERS 时间: 2004-05-20 15:21
标题: 怎么能限制他IP呢！现有网络能解决吗
霍霍，他是满楼跑啊！！你是说锁定ARP表，好象不管用

作者: 风行万里 时间: 2004-05-20 15:50
标题: 怎么能限制他IP呢！现有网络能解决吗
我也想知道答案，怎么直接把他的mac地址封掉

作者: Robinhood 时间: 2004-05-20 17:29
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "OWERS"]谢谢楼上的“Robinhood ”那就是说实际买个4层-7层的交换机也就可以解决了！或者买这种控制网关[/quote 发表：

对，关键要在应用层上控制。其他网友们说的MAC控制列表或用户交换机的端口MAC绑定都解决不了PC用户盗用（仿真）MAC的行为。
我以前就是用仿真MAC的方式对付我们小区接入商的，呵呵。现在接入商采取用户认证的方式，干脆连MAC都不限了，我只好缴费上网。

作者: 坚持到底 时间: 2004-05-20 17:45
标题: 怎么能限制他IP呢！现有网络能解决吗
楼上的这位大哥。，小弟对你这仿真MAC 欺骗小区接入商很感兴趣，能否详细介绍介绍。。

作者: Robinhood 时间: 2004-05-20 18:21
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "坚持到底"]楼上的这位大哥。，小弟对你这仿真MAC 欺骗小区接入商很感兴趣，能否详细介绍介绍。。[/quote 发表：

这要看服务商采用什么技术接入，不能硬来。不过，电信用户一般没这机会，他们的技术手段较高，漏洞少。

作者: 百日鬼 时间: 2004-05-21 08:24
标题: 怎么能限制他IP呢！现有网络能解决吗
在接入的交换机上做端口的MAC绑定，并且在核心设备上做IP与MAC的绑定
呵呵，OK了

作者: birdfly 时间: 2004-05-21 08:57
标题: 怎么能限制他IP呢！现有网络能解决吗
天，这是个什么牛人啊。。不用上班，到处跑了去上网啊。。。

作者: Robinhood 时间: 2004-05-21 09:08
标题: 怎么能限制他IP呢！现有网络能解决吗

原帖由 "百日鬼" 发表：
在接入的交换机上做端口的MAC绑定，并且在核心设备上做IP与MAC的绑定
呵呵，OK了

我成对仿真你的IP与MAC，你这种方式能防住吗？
再次强调，应用层的处理是唯一方案。

作者: liulegend 时间: 2004-05-21 09:54
提示: 作者被禁止或删除内容自动屏蔽

作者: 百日鬼 时间: 2004-05-21 10:05
标题: 怎么能限制他IP呢！现有网络能解决吗

原帖由 "Robinhood" 发表：

我成对仿真你的IP与MAC，你这种方式能防住吗？
再次强调，应用层的处理是唯一方案。

这就意味着你到我的位置上把我的网线拔掉（或者进入机房在交换机上拔掉我的网线）并且MAC和IP都改成我的
555555555555555
天啊，强盗啊，没有天理啊

作者: mazu 时间: 2004-05-21 10:12
标题: 怎么能限制他IP呢！现有网络能解决吗
认证也许是最实际的办法了，这种东西本来就是防君子不防小人的

作者: POWERS 时间: 2004-05-21 10:13
标题: 怎么能限制他IP呢！现有网络能解决吗
有一回给朋友帮忙做一服务器，他们接的是楼内的“长宽” 新服务器网卡驱动一装好网线一接，打开IE 直接就是长宽的认证网页，输入给的ID和口令一回车，你就可以上网了，而且分配的公网IP，各位仁兄，不知这是怎么实现的，需要什么设备呢，这种认证对网速有没有影响呢。

作者: JohnBull 时间: 2004-05-21 11:47
标题: 怎么能限制他IP呢！现有网络能解决吗
PPPoE!!

作者: hcjia 时间: 2004-05-21 11:58
标题: 怎么能限制他IP呢！现有网络能解决吗
我也遇到这样的问题了！结论，没有好的办法！除非用代理上网，在代理软件上进行控制了！

作者: Robinhood 时间: 2004-05-21 12:07
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "OWERS"]有一回给朋友帮忙做一服务器，他们接的是楼内的“长宽” 新服务器网卡驱动一装好网线一接，打开IE 直接就是长宽的认证网页，输入给的ID和口令一回车，你就可以上网了，而且分配的公网IP，各位仁兄，不知这是怎么实现..........[/quote 发表：

长宽用的就是我说的计费网关，这种东西有硬件级的，有软件级的；硬件级的能做到线速转发，而且可以透明接入；软件级的功能较灵活，但性能较差，而且一定要以网关方式接入。
硬件级的100用户并发的产品大概要5万多。

作者: POWERS 时间: 2004-05-21 12:08
标题: 怎么能限制他IP呢！现有网络能解决吗
PPPoE是虚拟拨号认证吗，太麻烦了！！长宽做的挺好直接就是WEB认证
真不知道是怎么做的，而且是在你没访问的情况下直接把你打开的首页给改成长宽的了，这么做是不是有安全危害的嫌疑

作者: Robinhood 时间: 2004-05-21 12:13
标题: 怎么能限制他IP呢！现有网络能解决吗
计费认证网关支持WEB和客户端两种认证方式，而且可以在认证时主动推送WEB内容：比如通知、广告。

作者: JohnBull 时间: 2004-05-21 12:30
标题: 怎么能限制他IP呢！现有网络能解决吗

原帖由 "OWERS" 发表：
PPPoE是虚拟拨号认证吗，太麻烦了！！长宽做的挺好直接就是WEB认证
真不知道是怎么做的，而且是在你没访问的情况下直接把你打开的首页给改成长宽的了，这么做是不是有安全危害的嫌疑

Web认证用Linux的NAT加上简单的开发就可以实现,问题是web认证太不安全,我看到的所有web认证都是用http的,没见到一个https的,你敢用吗?
而PPPoE则可以使用chap.

作者: POWERS 时间: 2004-05-21 12:54
标题: 怎么能限制他IP呢！现有网络能解决吗
老牛！！是说我在网络里（有可能）抓到没有加密的ID和口令的包，如果抓不到安全应该不太成问题吧。

作者: POWERS 时间: 2004-05-21 12:56
标题: 怎么能限制他IP呢！现有网络能解决吗
反正我家歌华的LAN宽带，防护是很简单的，我直接把我搜到的MAC地址改到我的网卡上再改个已知的内网IP就可以上了！！嘿嘿

作者: free2 时间: 2004-05-21 14:44
标题: 怎么能限制他IP呢！现有网络能解决吗
在DHCP里的保留IP里已经做了IP与MAC地址的绑定
这个只是说“一个MAC” 可以分配到一个固定IP……但你没有办法控制本地MAC 绑定多个IP，
就好象一个网卡上可以设定多个 IP 地址一样。

如果仅仅是要控制对外网的访问的话……只有在访问外网的网关或代理的认证上做限制。
也就是说网关要支持MAC 和IP 的同时认证……“与”条件
这个……现成的WIN软件，我只看到过 CCPROXY

你试试再划一个 DHCP 2，用来占用掉无法上网的 IP 地址段，可以唬唬大部分人
但“THE MAC”占用了原来“已知”可以上网的但“关机/开机”的 IP 地址时，就会发生IP冲突

看不懂前面有关 WIN 2K 的AD 部分，是不是说 “登陆脚本”啊
是对每一台进域的机器改成要求的地址，那工作量够可以的……

作者: hymouse 时间: 2004-05-21 19:12
标题: 怎么能限制他IP呢！现有网络能解决吗
应该是不会的吧
计费网关我们学校倒是采用的
在校内的时候不会出现认证界面的
但是要想出校园网的时候
就会有的了
是硬件级的
个人觉得还是不错的了

原帖由 "OWERS" 发表：
PPPoE是虚拟拨号认证吗，太麻烦了！！长宽做的挺好直接就是WEB认证
真不知道是怎么做的，而且是在你没访问的情况下直接把你打开的首页给改成长宽的了，这么做是不是有安全危害的嫌疑

作者: iamxcq 时间: 2004-05-21 22:42
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "OWERS"]有一回给朋友帮忙做一服务器，他们接的是楼内的“长宽” 新服务器网卡驱动一装好网线一接，打开IE 直接就是长宽的认证网页，输入给的ID和口令一回车，你就可以上网了，而且分配的公网IP，各位仁兄，不知这是怎么实现..........[/quote 发表：

这是认证的一种，一般认证有pppoe，802.1x，web认证，这属于web认证，
这是私有的协议。

作者: POWERS 时间: 2004-05-21 23:39
标题: 怎么能限制他IP呢！现有网络能解决吗
首先谢谢大家的回帖，长了不少知识
哈，楼上的MM 802.1x的实现方式是什么样的呢！没办法见识少

作者: iamxcq 时间: 2004-05-22 10:40
标题: 怎么能限制他IP呢！现有网络能解决吗

原帖由 "OWERS" 发表：
首先谢谢大家的回帖，长了不少知识
哈，楼上的MM 802.1x的实现方式是什么样的呢！没办法见识少

不是在说我吧，我不是MM，我是GG，
802.1x由三部分组成，客户端，认证系统，认证服务器，讲起来要讲好多，自己去找资料应该能找到的

作者: lhq37460181 时间: 2004-05-23 13:56
标题: 怎么能限制他IP呢！现有网络能解决吗
好象楼主的问题还没解决？

作者: windstar 时间: 2004-05-24 08:07
标题: 怎么能限制他IP呢！现有网络能解决吗
用win2000 做了域控制器，可以收回本机管理员密码，用 GPO设置不让域用户修改网络设置，再琐上注册表，再不然就用楼上有人说的ccproxy,或者ISA加域帐号认证，应该就没问题了吧

作者: 紫枫猪猪 时间: 2004-05-24 10:23
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "windstar"]用win2000 做了域控制器，可以收回本机管理员密码，用 GPO设置不让域用户修改网络设置，再琐上注册表，再不然就用楼上有人说的ccproxy,或者ISA加域帐号认证，应该就没问题了吧[/quote 发表：

对啊，用ISA2000的域帐号认证，绝对能解决楼主的问题，我就是这样用的。

作者: lalpha2000 时间: 2004-05-24 12:06
标题: 怎么能限制他IP呢！现有网络能解决吗
碰见了这种人，是没有办法的。要是他换个网卡。或者用别人的机器做路由上网，还不是一样。我在做服务的时候碰见这种事情多着呐。叫他别做什么应该做什么他非不听。对付这种人只有一种办法。发现它上网就罚她半个月的工资。
我最恨这些人。他们脑子有屎~！~！

作者: 性感小肥猪 时间: 2004-05-26 14:38
标题: 怎么能限制他IP呢！现有网络能解决吗
今天在NET130上看到一篇文章,楼主可参考参考!

路由器的网络地址转换、管理登陆限制、MAC与IP的绑定

interface FastEthernet0/0

ip address 10.1.5.130 255.255.255.252

ip access-group 102 in

ip access-group 105 out

ip nat outside

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 158.88.0.254 255.255.0.0

ip access-group 102 in

ip nat inside

speed auto

full-duplex

!

ip nat pool globalpool 10.1.5.130 10.1.5.130 netmask 255.255.255.252

ip nat inside source list 1 pool globalpool overload

ip classless

ip route 0.0.0.0 0.0.0.0 10.1.5.129

no ip http server

ip pim bidir-enable

!

logging trap debugging

logging 158.88.0.224

logging 158.88.0.222

access-list 1 permit 158.88.0.222

access-list 1 permit 158.88.0.223

access-list 1 permit 158.88.0.224

access-list 1 permit 158.88.0.2

access-list 1 permit 158.88.0.1

access-list 1 permit 158.88.0.15

access-list 1 permit 158.88.0.18

access-list 1 permit 158.88.0.28

access-list 1 permit 158.88.0.48

access-list 102 permit tcp host 158.88.0.222 host 158.88.0.254 eq

telnet

access-list 102 deny tcp any host 158.88.0.254 eq telnet

access-list 102 deny tcp any host 10.1.5.130 eq telnet

access-list 102 permit ip any any

arp 158.88.0.222 0002.3f70.4116 ARPA

arp 158.88.0.223 0004.2306.601d ARPA

arp 158.88.0.224 0050.ba7c.adcd ARPA

arp 158.88.0.224 0050.ba7c.adcd ARPA

arp 158.88.0.2 0001.0345.f79f ARPA

arp 158.88.0.1 0004.2306.6062 ARPA

arp 158.88.0.15 0004.2310.6aa0 ARPA

arp 158.88.0.18 0004.2306.6078 ARPA

arp 158.88.0.28 0004.2307.2a82 ARPA

arp 158.88.0.48 0004.2306.d10d ARPA

!

line con 0

password 7 120F0A1F1B0F09142B

line 33 48

line aux 0

password 7 07192E44470D1C1516

line vty 0 4

password 7 120F0A1F1B0F09142B

作者: kinglung 时间: 2004-05-26 16:19
标题: 怎么能限制他IP呢！现有网络能解决吗
用防火墙的IP与MAC地址绑定！

作者: 梅川底酷 时间: 2004-05-26 22:45
标题: 怎么能限制他IP呢！现有网络能解决吗
这种人应该打兄弟把他的手提给到顶楼丢下去，

如果你们楼不高，那就晕了。
……

作者: 风行万里 时间: 2004-05-27 09:34
标题: 怎么能限制他IP呢！现有网络能解决吗
还是没搞明白如何仿真mac地址

作者: POWERS 时间: 2004-05-27 11:35
标题: 怎么能限制他IP呢！现有网络能解决吗
[quote]原帖由 "kinglung"]用防火墙的IP与MAC地址绑定！[/quote 发表：

霍霍，已经做了MAC与IP的永久绑定了，SHOW ARP后发现PIX还是润许MAC与2个一上IP做定义

作者: hcjia 时间: 2004-05-31 15:36
标题: 怎么能限制他IP呢！现有网络能解决吗
采用代理软件！用mac+用户名+密码来解决！

作者: mars14 时间: 2004-07-21 11:27
标题: 怎么能限制他IP呢！现有网络能解决吗
多元素的认证，MAC+IP+USER+PW，
要是可网管的交换机做：接口＋IP的绑定，也可以加上USER+PW来认证，还是用802.1X的东西来做认证吧，CISCO PIX可以喝RADIUS和TACACS+来协作啊，你的交换机是什么牌子的啊？！PIX下边全是2层设备吗？那么你网络不大啊？如果有3层设备你也不会在PIX上做IP和MAC绑定吧！^_^

作者: LD 时间: 2004-07-21 13:28
标题: 怎么能限制他IP呢！现有网络能解决吗
局域网里如果有人用ccproxy如何防？
他改了端口，这样把整个局域网扫描一遍好长时间。

作者: fushuyong 时间: 2004-07-22 07:17
标题: 怎么能限制他IP呢！现有网络能解决吗
最绝的方法，应用内容过滤技术，把那个家伙的QQ号码。MSN账号、电子邮件地址、惯用的网络ID 全部设置为过滤内容，然后DROP掉。

作者: qingmaomao 时间: 2004-07-22 09:23
标题: 怎么能限制他IP呢！现有网络能解决吗
哈哈`~ 用偶门公司的网管软件就能搞定的拉　～系统软件针对访问IP地址及端口管制，可设定开放或不开放自订IP地址及端口管制，达到类似防火墙功能，重点在于限制 ” IP地址及端口管制” 阻挡或开放其任何一用户使用。而且｀～价格低廉哦　～～　还有阻止上什么ＱＱ啊ＭＳＮ啊　，发ＭＡＩＬ等等｀～　老好了～　有兴趣来给偶要资料。

ＭＳＮ　qingmaomao@hotmail.com

作者: shenbo7 时间: 2004-07-22 10:55
标题: 怎么能限制他IP呢！现有网络能解决吗
总结：
1.楼主说的是一个XX用户（笔记本电脑）是在全公司的各网络端口随机使用的（所以，绑定端口不适用）；
2.此机网卡MAC地址已知，并且已经和一个IP地址绑定（只能说是这个IP地址和此MAC地址绑定了，但他还是可以用修改固定IP地址的方法取得其他的IP地址！）（楼主郁闷处！）

作者: yidianboy 时间: 2004-07-22 23:29
标题: 怎么能限制他IP呢！现有网络能解决吗

原帖由 "性感小肥猪" 发表：
今天在NET130上看到一篇文章,楼主可参考参考!

路由器的网络地址转换、管理登陆限制、MAC与IP的绑定

interface FastEthernet0/0

ip address 10.1.5.130 255.255.255.252

ip access-group 102 in

i..........

这样做也无法解决他盗用他人MAC和iP的问题啊，PPPoe不会出这种问题，可是维护起来麻烦，有一个人开了dhcp就可能会使得全网都上不去

作者: 2000king 时间: 2004-07-28 15:08
标题: 怎么能限制他IP呢！现有网络能解决吗
可以先统计全局域网的IP地址和MAC地址的对应关系，将统计到的都进行ＩＰ和ＭＡＣ绑定，把剩下没有用的ＩＰ地址都和空的ＭＡＣ地址进行绑定，比如００－００－００－００－００－００，ｚ这样他就上不去了。不过这样不能阻止他自己更改别人的ＭＡＣ地址上网，但是如果他更改的话，另一个人上不去网会去找你的。如果再想防止盗用就只能采用应用层验证了。这种方式以前给用户做过，可以用的。

作者: zllovezlm 时间: 2004-07-28 15:34
标题: 怎么能限制他IP呢！现有网络能解决吗
网上有款软件网络执法官，好像有点用，试试之

作者: 小蟹 时间: 2004-07-28 15:52
标题: 怎么能限制他IP呢！现有网络能解决吗
最好是把：

PORT＋MAC Add＋IP Add绑定

这样丫就算改上天也没办法用

作者: 小侠爱华 时间: 2004-08-15 12:14
标题: 怎么能限制他IP呢！现有网络能解决吗
如果使用AD管理局域网，可以手动分配IP地址，然后在组策略里面用户配置下管理模板下的网络下的网络连接里面起用禁止访问LAN连接属性和为管理员启用WIN2000网络配置连接，这样网络连接属性设置将不可用，AD域内用户将无发修改本机IP、DNS等信息。

作者: freett 时间: 2008-04-25 11:11

原帖由 POWERS 于 2004-5-18 10:32 发表
我们网络环境是这样：PIX防火墙做PAT，
内网地址为10.10.10.0段
内网用2000下的DHCP分配IP
现在我在DHCP里的保留IP里已经做了IP与MAC地址的绑定
PIX里也做了arp i ...

在他这台机器前面加个adsl路由器就那种100多块的
然后把它的机器放在路由器后面把80端口关掉就可以了呵呵物理隔绝随他改去

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)