Как ограничить MAC

[alexbalkan]

Помогите пожалуста разобраться. В сети настроен DHCP жестко выделяющий IP по MAC, и Squid c ограничителем трафика. Некоторые умники (качки) меняют в ручную свой адрес, и продолжают качать медиа. Как сделать так, чтобы те MAC адреса которым я присвоил IP, не могли использовать никакой другой кроме выделенного для них, т.е. чтоб когда они пропишут адрес вручную, он им не присваивался или как то еще.

[AnrDaemon]

Социальные проблемы техническими средствами не решаются.

Как максимум, можно не выдавать IP неизвестным MAC'ам.

[alexbalkan]

Социальные проблемы техническими средствами не решаются.

Как максимум, можно не выдавать IP неизвестным MAC'ам.

Получается что комнату невозможно закрыть на ключ? Завтра каждый будет обходить всякие ограничения.

[AnrDaemon]

Ещё раз медленно.
То что кто-то вручную меняет MAC - это не техническая проблема! Это социальная проблема. Комнату можно закрыть на ключ, но это преграда для честных людей. Тем, у кого чести не осталось, это не помешает взять топор и выбить дверь.

[alexbalkan]

Ещё раз медленно.
То что кто-то вручную меняет MAC - это не техническая проблема! Это социальная проблема. Комнату можно закрыть на ключ, но это преграда для честных людей. Тем, у кого чести не осталось, это не помешает взять топор и выбить дверь.

Хорошо. Я не очень большой специалист знания сетей. Может мне попробовать на уровне подсетей решить проблему например 192.168.2.0/24 это штатные работники, какой бы они адрес себе не прописали в этих пределах у них будет одна скорость, а 192.168.10.0/24 руководство. О существовании второй подсети могут не догадываться. Как этот вариант прокатит?

[AnrDaemon]

Хорошо. Я не очень большой специалист знания сетей.

При чём тут знание сетей? Вы попросили привести сравнение с чем-то, что вам знакомо и понятно -  я привёл.

Может мне попробовать на уровне подсетей решить проблему например 192.168.2.0/24 это штатные работники, какой бы они адрес себе не прописали в этих пределах у них будет одна скорость, а 192.168.10.0/24 руководство. О существовании второй подсети могут не догадываться. Как этот вариант прокатит?

Только если сети разделены физически. (i.e. подключены к разным портам сервера, либо идут через управляемый концентратор)

Раз у вас есть руководство, с ним и разговаривайте. Так и так, этот работник нарушает нормальную работу сети, занимается чёрт знает чем.
Парочка штрафов быстро вразумляет таких ловкачей.

[fisher74]

А поподоробней можно? Если кальмар с ограничением, то как они качают?
Обычно применяют политику "всё запрещено, разрешено только то-то и тому-то".

Если DHCP привязан жёстко, то можно закостылить статическую arp-таблицу или представаить себя мегаадмином и спаять правила iptables с филтрацией что-то типа

Код: [Выделить]

...-s 192.168.0.67 ! -m mac --mac-source 00:1D:60:2E:ED:A5 -j DROPно это не Ваш способ, потому что

Я не очень большой специалист знания сетей.

[Sly_tom_cat]

Я на роутере делал так - прописал в DHCP статическую таблицу (благо маков то у меня не много), а диапазон DHCP задал ровно размером со статическую таблицу. Т.е. DHCP никакому другому маку (кроме тех, что прописаны) просто никак адрес выдать не может т.к. у него весь диапазон занят зарезервированными адресами.

[fisher74]

Sly_tom_cat, в первом сообщении топика написано, что пользователи забивают на DHCP и выставляют IP вручную.
Так что колдовство со статикой в dhcpd не возымеют положительного результата.

[Sly_tom_cat]

Я не верно понял какой они адрес пеняют... я думал MAC.

[deniska2]

Как понимаю качают торрент?А если порты позакрывать или как у нас сделали,фильтрацию по типу файла.Или просто урезать скорость на закачку,до 128кБит.

[AnrDaemon]

Я на роутере делал так - прописал в DHCP статическую таблицу (благо маков то у меня не много), а диапазон DHCP задал ровно размером со статическую таблицу. Т.е. DHCP никакому другому маку (кроме тех, что прописаны) просто никак адрес выдать не может т.к. у него весь диапазон занят зарезервированными адресами.

Если прописана таблица, диапазон можно не задавать вообще. Тогда адреса будут выдаваться только прописанным хостам.
Пользователь решил продолжить мысль 13 Мая 2014, 20:47:22:

Я не верно понял какой они адрес пеняют... я думал MAC.

Какой бы ни меняли, можно предотвратить использование "лишних" адресов.

[alexbalkan]

Никаких здесь лишних адресов нет. Есть пул разрешенных адресов некоторые из них привязываются по MACу, и в Squid идет описание разграничения по скорости. И вот некоторые юзеры вручную прописывают свой IP который не попадает под ограничения, например ставит IP на который не попадают ограничения по скорости. Из всего я понял одно, проблема не решаема. Вот если бы в Squid-е можно было бы еще описывать не только по IP, но и по MAC, я думаю проблема разрешилась бы. Может быть так и можно делать, только не знаю как.

[fisher74]

Если бы Вы читали, что Вам пишут и что написано в документации, то поняли бы, что проблема решается при правильной настройке. Да и вообще это не проблема, а неправильное построение политики распределения сетевых ресурсов.

1. Squid уже стотыщпицот лет умеет фильтровать по mac-адресам
2. (повторяюсь) Политика распределения ресурсов обычно строится на максимальном ограничении всего и вся с индивидуальными настройками для особых клиентов. Т.е. если клиент не входит в список "правильных", то к нему применяется максимальная (для данной сети) ограничивающая политика.

[alexbalkan]

Если бы Вы читали, что Вам пишут и что написано в документации, то поняли бы, что проблема решается при правильной настройке. Да и вообще это не проблема, а неправильное построение политики распределения сетевых ресурсов.

1. Squid уже стотыщпицот лет умеет фильтровать по mac-адресам
2. (повторяюсь) Политика распределения ресурсов обычно строится на максимальном ограничении всего и вся с индивидуальными настройками для особых клиентов. Т.е. если клиент не входит в список "правильных", то к нему применяется максимальная (для данной сети) ограничивающая политика.

C вами полностью согласен. Но я не спец в этих делах, поэтому и пришел сюда за помощью. Согласен что у меня неправильное построение политики. Короче говоря мне надо сделать фильтрацию по MAC или как?