Я пытаюсь разработать расширение принудительного применения DHCP, такое как Microsoft NAP. Моя уловка для блокировки компьютеров с динамическим IP-запросом (которые не соответствуют определенной политике) заключается в том, чтобы удалить шлюз по умолчанию (без шлюза по умолчанию), указанный в аренде IP, и установить маску подсети для аренды на 255.255.255.255.
Теперь мне нужно, чтобы заблокированные машины могли достичь определенных местоположений (IP-адресов) в сети. Чтобы учесть это, я включаю в аренду несколько статических маршрутов. Например, я подключаю 10.10.10.11 через маршрутизатор 10.10.10.254 (тот, к которому подключен заблокированный компьютер, которому требуется доступ к 10.10.10.11).
К сожалению, как только я установил для шлюза по умолчанию значение «Ничего», заблокированные машины не могут достичь ни одного из добавленных статических маршрутов. Я также пробовал бесклассовые статические маршруты.
Любые идеи ? кто-нибудь знает, как MS NAP на самом деле это делает?
Возможно, вам потребуется указать маршрут до 10.10.10.254, в вашем примере. Этим маршрутом может быть «он локально привязан к этому интерфейсу» (надеюсь, что это так).
Билл Вайс: Мы пробовали это (добавление адреса маршрутизатора в качестве статического маршрута, где его шлюз имеет особое значение 0.0.0.0 на той же ссылке). Это позволило пингу достигать маршрутизатора, но не конечной машины (другой статический маршрут через этот маршрутизатор).
Грег Брэй: Мы нашли половину решения, при котором заблокированные машины в сегментах сети, отличных от тех, что указаны в статической таблице маршрутизации (которая должна быть достигнута), могут пинговать их. Обычно мы устанавливаем шлюз по умолчанию на 0.0.0.0 и маску подсети на 255.255.255.255, что означает: пожалуйста, обратитесь к таблице статических маршрутов для любых запросов. Мы также установили шлюз статических маршрутов на 0.0.0.0, что означает, что этот шлюз находится на той же ссылке, что и заблокированная машина (я думаю, поправьте меня, если ошибаюсь, пожалуйста). Однако есть идеи, как мы можем пинговать машины в одном сегменте с помощью заблокированного?
Еще одно: представьте себе две заблокированные машины, использующие указанные выше настройки шлюза по умолчанию и маски подсети. Теперь для заблокированной машины A, чтобы проверить связь с другой заблокированной машиной B, нужен ли мне статический маршрут от B к A, чтобы B мог ответить на этот запрос ping (предположим, что A уже получил статический маршрут к B)? Я имею в виду, использует ли ответ ping информацию из заголовков запроса ping о машине запрашивающего, чтобы ответить на него? или для этого ответа нужна явная статическая маршрутизация?
Спасибо вам, ребята :)
Я думаю, что проблема в том, чтобы определить маску подсети как 255.255.255.255. По сути, вы говорите компьютеру, что он сам находится в сегменте сети, а затем не сообщаете ему, с кем разговаривать (т. Е. Шлюз) для связи с другими сегментами сети. Правильным решением было бы настроить сегмент частной сети с реальным сервером шлюза, для которого не настроена маршрутизация для локальной сети, а затем настроить статические маршруты из частной сети на желаемые адреса локальной сети. В качестве альтернативы вам может потребоваться разместить компьютеры в сегменте сети, предназначенной только для широковещательной передачи, с достаточно большой маской подсети для достижения желаемых адресов, а затем настроить статические маршруты на любых маршрутизаторах, к которым были подключены машины.
Для упрощения: без шлюза = только широковещательная передача, подмножество 255.255.255.255 = без широковещательной передачи (все направляется к шлюзу)
Отчасти проблема в том, что вы блокируете более конкретную сеть, чем ваш статический маршрут. Маршрутизаторы выбирают сеть для отправки на основе административного расстояния, а статические маршруты имеют административное расстояние, равное 1. Однако они игнорируют AD, если другой маршрут является более конкретной сетью (иначе говоря, имеет больше сетевых битов, чем битов хоста). Итак, если вы устанавливаете маску на 255.255.255.255, вы все являетесь сетевыми битами, и ваш статический маршрут к сети + хосту игнорируется.
Кроме того, каково это принуждение, поскольку они могут просто установить свою информацию вручную и полностью игнорировать эту систему?