1

Представьте, что у вас есть сеть, к которой другие пользователи могут подключаться к своим ПК, вы установили некоторые правила, например, есть DHCP-сервер, который дает адреса 192.168.2.100 - .254, и первые 100 адресов зарезервированы для людей, которые хотят статический IPv4 адрес.

Как технически возможно предотвратить использование кем-либо другого IPv4-адреса? Как вы можете ограничить кого-либо использовать только определенный IP?

Как, например, интернет-провайдер заставляет людей использовать только тот публичный IP, который им присвоен? Например, у меня есть сервер в серверной комнате, и мне были предоставлены N адресов IPv4, я получил список всех адресов IPv4, которые мне разрешено использовать (все они являются общедоступными IPv4, доступ к которым можно получить через Интернет). Я не пытался взять какой-либо другой IP, кроме того, который мне разрешен, потому что это, вероятно, нарушило бы какое-то правило, и они могли бы отключить сервер, так что я даже не собираюсь пробовать это, но просто из любопытства, возможно ли это даже технически ограничивать как-то? Как?

4 ответа4

3

Нет никакого способа запретить компьютеру использовать другой IP-адрес. Однако вы можете назначить конкретный IP-адрес компьютеру через DHCP на основе MAC-адреса, чтобы, когда этот компьютер запрашивал IP-адрес от DHCP-сервера, он получал один и тот же адрес каждый раз.

Ниже я приведу некоторые возможности, но имейте в виду, что это не помешает кому-либо назначить любой статический IP-адрес, который он выберет, и, возможно, приведет к дублированию IP-адреса в сети.

  1. Резервирование DHCP - этот подход будет использовать mac-адрес каждого компьютера для "резервирования" или "аренды" определенного IP-адреса для этого устройства. Это не белый или черный список, и любой компьютер может получить IP-адрес в сети. Я считаю, что это используется только с домашними маршрутизаторами типа.
  2. Фильтрация MAC-адресов - аналогична резервированию DHCP, за исключением того, что MAC-адреса добавляются в белый или черный список, чтобы разрешить / запретить доступ к сети.

РЕДАКТИРОВАТЬ :
Как я уже думал об этом, на самом деле есть способ предотвратить изменение IP-адреса, но не только со стороны сети. Если компьютеры были в домене, системный администратор мог заблокировать части операционной системы, такие как параметры сетевого адаптера, командную строку и т.д., С помощью групповых политик Active Directory.

1

С соответствующим оборудованием это сделать довольно легко. Управляемый коммутатор позволит вам назначить один или несколько IP-адресов (физическому) порту и заблокировать трафик, поступающий с любого другого IP-адреса этого порта. Вы также можете использовать другой сетевой интерфейс для каждого компьютера на вашем сервере, хотя это может оказаться быстрее и дороже.

В отсутствие такого оборудования лучшее, что вы можете сделать, - это фильтрация MAC-адресов и блокирование трафика, поступающего с IP-адреса, который не связан с MAC-адресами. Это выполнимо, используя iptables в Linux. Имейте в виду, что подделка MAC-адреса довольно проста.

Это не помешает компьютеру «принять» IP-адрес, поскольку он все еще может быть установлен статически на интерфейсе, однако все пакеты, использующие этот IP-адрес, будут отброшены, поэтому это не очень полезно.

0

На уровне интернет-провайдера вы можете назначить себе любой IP-адрес, который вам нравится, но только те, которые фактически назначены вам, будут маршрутизироваться, остальные не получат обратного трафика. Они вас не забанят, просто не получится.

Локально, это немного сложнее. Может быть возможно заблокировать не DHCP-клиентов, но на самом деле вы просто хотите отключить VLAN от гостевых машин, чтобы они не могли вызвать каких-либо проблем.

0

Я не думаю, что это возможно. Даже в моей домашней учетной записи pppoe я настроил статический IP-адрес, в то время как был подготовлен только для динамического IP-адреса. Единственная проблема - конфликты по IP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .