如何限制部分使用者無法上網？

[casperyang]

請問各位一下
我們公司是使用DHCP分配IP給使用者
每位同仁皆可上Internet
現在欲對部分同事作無法上網限制
想問一下怎樣可以做到阿∼∼

[gerrybbs]

如果你願意,Linux 是不錯的選擇,可以以mac address,ip address , ip range 做不同的設限

[all600]

最初由 gerrybbs
如果你願意,Linux 是不錯的選擇,可以以mac address,ip address , ip range 做不同的設限

有沒有ip分享器有此功能?

[casperyang]

最初由 gerrybbs
如果你願意,Linux 是不錯的選擇,可以以mac address,ip address , ip range 做不同的設限

不知是否可以詳細說明一下如何做到ㄋㄟ？^_^

[gerrybbs]

最初由 casperyang



不知是否可以詳細說明一下如何做到ㄋㄟ？^_^

如有使用 linux,在kernel 2.4.x 以後使用 net filter 機制,程式使用 iptables,建立所謂的 firewall,若kernel 2.2-2.4 之間使用 ipchains ,此似乎無法限制 mac address,在 iptables 可制定許多規則(filter rules)達到各種需求,nat及以上限制,僅是基礎而已.

若你已熟 linux,可另開 iptables rules 版討論,若不熟此 os,恐先做基本功課

[milwater]

既然已經有了DHCP, 那就可以善用它囉~
假設是虛擬網段,
設兩個Scope,
一個有Gateway, 給所有人 -> 除了某些PC(可用MAC位址做過濾)
另一個Scope則將其Default Gateway拿除, 不給它們.
完成後將要做限制的PC之DHCP租約停止, 以重新發放.
下回當受限制的員工要上Internet時,
就會由於沒有Gateway而無法外出了. 參考參考~

[wei129]

最初由 casperyang
請問各位一下
我們公司是使用DHCP分配IP給使用者
每位同仁皆可上Internet
現在欲對部分同事作無法上網限制
想問一下怎樣可以做到阿∼∼

你在dhcp裡可以設兩個不同的scope 針對部分的使用者做限制就可以了呀

[gerrybbs]

最初由 milwater

設兩個Scope,
一個有Gateway, 給所有人 -> 除了某些PC(可用MAC位址做過濾)

小弟先前使用dhcp的經驗僅限於發配IP用,不知可否用,過濾mac address以達到真正限制上網,我的意思指:即便自設IP值亦無法指向gateway.也就是說當dhcp未配發前,網路內已先存在一個固定IP,那請問dhcp可否管制此IP之封包不指向gateway,小弟才疏學淺,總以為dhcp server 在網段內並無任何控制封包權力,好像是否用dhcp 配的IP,決定權在於client,希網友不吝釋疑
反之,倘dhcp真如小弟所言,它的限制並不確實,建議朝網段內的gateway著眼.

[casperyang]

最初由 milwater
既然已經有了DHCP, 那就可以善用它囉~
假設是虛擬網段,
設兩個Scope,
一個有Gateway, 給所有人 -> 除了某些PC(可用MAC位址做過濾)
另一個Scope則將其Default Gateway拿除, 不給它們.
完成後將要做限制的PC之DHCP租約停止, 以重新發放.
下回當受限制的員工要上Internet時,
就會由於沒有Gateway而無法外出了. 參考參考~

請問一下∼∼設定兩個Scope後如何可以使
可以上網的人分配到有Gateway的Dhcp
而不能上網的分配到無Gateway的Dhcp
以上有提到MAC位置作過濾
請問這要在那邊設定ㄋㄟ？

[milwater]

最初由 gerrybbs


小弟先前使用dhcp的經驗僅限於發配IP用,不知可否用,過濾mac address以達到真正限制上網,我的意思指:即便自設IP值亦無法指向gateway.也就是說當dhcp未配發前,網路內已先存在一個固定IP,那請問dhcp可否管制此IP之封包不指向gateway,小弟才疏學淺,總以為dhcp server 在網段內並無任何控制封包權力,好像是否用dhcp 配的IP,決定權在於client,希網友不吝釋疑
反之,倘dhcp真如小弟所言,它的限制並不確實,建議朝網段內的gateway著眼.

嗯.. .....話若要說透支，　眼淚是撥不離啊~~
您這段"也就是說當dhcp未配發前,網路內已先存在一個固定IP"是什麼意思呢? 有點不瞭..

...我想, 若要實際瞭解可行與否, 恐怕要從DHCP的原理開始..
所謂DHCP用戶端取得設定的方法::
DHCP 用戶端使用二個不同的處理程序與 DHCP 伺服器通訊，並取得一個設定。依據用戶端是正在初始化還是更新租用，租用處理程序會採取不同步驟。
　
當用戶端電腦第一次啟動並且試圖加入網路時，會進行初始化處理。在用戶端取得租用後，會進行更新處理，但需要更新這台伺服器的租用。
　
初始租用處理
第一次啟動已啟用的 DHCP 用戶端時，它會自動地跟隨初始化處理程序以取得 DHCP 伺服器的租用。此處理程序的步驟是：
　
DHCP 用戶端將 DHCP 探索訊息播送到本機子網路。
DHCP 伺服器可以使用 DHCP 提供訊息 (DHCPOFFER) (它包含一個提供給用戶端租用的 IP 位址) 來回應。
如果沒有 DHCP 伺服器回應用戶端的探索要求，則用戶端可以使用下列任何一種方式繼續執行：
如果在 Windows 2000 與未停用的 IP 自動設定下執行用戶端，則用戶端會自行設定 IP 位址，以與自動用戶端設定搭配使用。
如果未在 Windows 2000 (或已停用 IP 自動設定) 下執行用戶端，則用戶端初始化會失敗。相反的，如果用戶端仍處於執行狀態，則會繼續在背景 (每隔 5 分執行 4 次) 重新發送 DHCP 探索訊息，直到從伺服器中接收到一則 DHCP 提供訊息為止。
用戶端一旦收到 DHCP 提供訊息，透過回復具有 DHCP 要求的伺服器，用戶端就可以選取伺服器所提供的位址。
一般而言，提供伺服器會傳送 DHCP 認可訊息 (DHCPACK)，以批準租用。
而且，認可中還可以包含其他 DHCP 選項資訊。
　
一旦用戶端接收到認可，則它就會使用回覆中的資訊，來設定 TCP/IP 內容，並且加入網路中。
　
* * *
以上摘自Win2K的Help檔. 暫時還看不出個所以然; 我們再來看看DHCP客戶端向伺服器要IP的過程.
　
首先, 由於客戶端"A"本身並沒有固定IP, 故由本機利用網卡發出內含MAC位址的"廣播封包"(此步驟名為"DHCPDiscover"), 當其他PC收到此封包後直接丟棄, 然DHCP伺服器收到後, 也會利用"廣播"發送內含A的MAC目的地資訊與發給IP與相關資訊之封包(此步驟名為"DHCPOffer");當其他電腦收到封包, 查核媕Y的MAC不是自己的(OSI第六層), 就把它Drop掉, 然當A收到時, 就很高興地轉為自身的設定啦(可由Winipcfg看出來的東東),然不只如此;設定OK後, 客戶端A會再發出一個peer-to-peer的封包給DHCP Server,表示已確實收到與正式租用(DHCPRequest), 而伺服器則會再回予一個正式的核可租用封包回客戶端"A"(DHCPAck).
　
再來我們看DHCP伺服器的幾個其他選頁功能, 其中有一項"用戶端保留區"(以Win2K為例).
其原理就是利用MAC位址作"綁定"(Binding), 將某些部份的網卡特別限定給某個Scope設定值, 就可達到我們要的功效了,然須將Gateway拿掉, 如此一旦網卡沒有此設定值, 封包就跑不出Router, 自然也上不了Internet..
　
..至於若是有人為自己設定IP, 自設核可範圍內的IP與設定值的話, 那就沒辦法了. 不過還是有解決的方法. 以Win2K為例, 可以利用AD設定的"網域安全性原則"限制網域內電腦/使用者使用控制台與網路設定. 至於Linux或其他OS, 記得也可以利用"權限"作限制, 但必須一個一個user/group設, 有點麻煩..
　
　
p.s:
以下For CasperYang:
以Win2K Server為例, 先打開DHCP;
　
在主控台樹狀目錄中按一下 [保留區]。
位置:　
　DHCP
　-適用的 DHCP 伺服器
　--適用的超級領域 (如果使用的話)
　---適用的領域
　----保留區
在 [執行] 功能表上按一下 [新增保留區]。
在 [新增保留區] 中，鍵入所需的資訊，以完成用戶端保留區的設定。
　
祝順利~