[CentOS-es] Un problema en mi LAN
Carlos Martinez
camarti en gmail.com
Mie Sep 1 18:17:04 EDT 2010
Saludos.
Bienvenido al mundo de la carrera armamentista entre los usuarios y el
administrador de red.
En el mundo de las politicas por ip/mac para navegación en una lan la
tenemos perdida, dado que los usuarios eventualmente aprenden a hacer
lo que tus usuarios estan haciendo. No da conflicto de IP porque la
MAC a la que esta registrada el IP es la misma MAC de la tarjeta que
pregunta. En condiciones normales esto jamás debería ocurrir por
cuanto la operación de la red ethernet se basa en que no hay
direcciones MAC duplicadas.
Si persistes en este enfoque tienes las siguientes soluciones:
1) Quítale los privilegios de administrador al usuario o los permisos
necesarios para modifcar la configuración de red. Con un AD o un SAMBA
supongo que hay una forma sencilla y global de hacerlo.
2) Si tu red es cableada y tienes switchs administrables coloca los
puertos en modo "autolearn" y que aprendan una sola MAC. Por más que
la cambien, eso no les va a servir de nada.
3) Si tu red es cableada y tienes switchs administrables asigna la
mac al puerto manualmente.
En realidad, la mejor alternativa es abandonar ese enfoque y empezar a
manejar login/password para autorizar la navegación. Es un desgaste
innecesario para redes grandes manejar números MAC en las
configuraciones. Es preferible usar VLANs y segmentar. En los únicos
ambientes donde el uso de números MAC es justificable es, o en
ambientes pequeños o en ambientes donde la seguridad y la proteccion
ante ataques de red es un factor importante, en cuyo caso se
implementan las soluciones 2 y 3 mencionadas previamente.
Hasta la proxima.
Carlos Andrés Martínez
2010/9/1 <jib8601 en gmail.com>:
> Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la
> ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es