3526
настроен ip mac binding

может ли легальный клиент сидящий на таком порту подключить какую либо железку к своему компу либо напрямую к порту и организовать доступ в сеть другим компам?

Если делать через NAT или PRoxy то проблем не будет. Вариант с маршрутизацией вызывает подозрение но не пробовал поэтому утверждать не буду.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

проблем не будет у кого?

мне необходимо что бы в сеть с таких портов никто не мог пролезть кроме клиента.

Так вот если у Вас за портом будет устройсто NAT то это не определить. При роутинге естественно можно.

я правильно понял что теоритически клиент может за этим портом организовать свою сетку которая будет свободно юзать ресурсы нашей сети?

Теоретически да, практически же относительно дешевые железки много юзеров не вытянут

спасибо за ответы, хотя они и не хорошие.
я честно говоря надеялся с помощью ip mac binding не только заставить юзверов автоматом получать IP и отучить от ручной смены, но и думал что особо умные не смогут левых пользователей подключить.

А как Вы это сделаете? Ведь в пакете от NAT изменён и source MAC, который можно прописать таким же, и source IP.

ну вот в этом то и вопрос, ну раз нельзя, то будем периодически отслеживать, хотя как тоже не представляю себе.
одно радует что простым подключением мыльницы они не смогут кого либо подключить. Это то то хотя бы так?

В ряде случаев, путем анализа пакетов протоколов семейства TCP/IP, можно сделать предположение либо о типе ОС (а также о NAT в случае использования), либо об аппаратном NAT. Дело неблагодарное... В сети можете найти статьи на эту тему, а также ряд программ.

Обращаю внимание на то, что даже *честный* пользователь может иметь у себя на ПК несколько виртуальных машин, которые ходят через основную машину, но можно обнаружить специфику, может иметь нотебук, который по Wi-Fi подключается к стационарному ПК и выходит через него в интернет (аналогично с КПК), может просто иметь несколько машин дома, не говоря уже о том, что никто ему не запрещает настроить NAT для самого себя или купить простейший маршрутизатор с NAT вне зависимости от того нужен он ему или нет!-)

Вы можете требовать от пользователя:
- чтобы Ваше устройство (свитч) видел только один MAC-адрес клиента (такие требования присутствуют при подключении к пунктам обмена трафиком).
- чтобы пользователь использовал конкретный MAC-адрес (пусть пытается использовать другие, но работать должен только этот. Лучше ограничить пользователя технически, чем бороться административно).
- чтобы пользователь использовал только протокол TCP/IP с конкретным IP-адресом.

Два последних пункта как раз без проблем реализуются с помощью IpMacBindingPort. Первый пункт можно реализовать с помощью PortSecure, если есть необходимость (может у Вас слишком много MAC'в в сети).

Хорошо бы еще запретить пользователю запускать DHCP-сервера, но лучше не допустить это технически (можно сделать на свитчах с помощью ACL-правил).

Можно потребовать, чтобы пользователь обязательно получал адрес по DHCP, но это не критично (хотя наверное на базе этого тоже есть решения).

Можно вообще использовать 802.1x, но это отдельная песня с отдельной головной болью...

А вот на счет остального - увы...

Вы можете учитывать трафик пользователя или полосу пропускания. Тогда Вам должно быть без разницы куда он девает трафик, если это Ваш клиент, хотя конечно обидно, если он играет роль шлюза между домовой сетью и Вами, да еще и требует соблюдения условий договора по полосе пропускания!-) Если же это Ваш подчиненный сотрудник, то тут могут применяться технические средства в сумме с административными, что должно дать эффект.

Есть вариант учитывать кол-во пакетов, но вряд ли тут есть перспективы.

Можно попробовать ограничить кол-во TCP-сессий. Проведите тест и проверьте сколько в среднем коннекций при нормальной работе с ПК, сделайте запас и ограничьте на Вашем маршрутизаторе. Если у пользователя за NAT'м один-два ПК, то будет все нормально. А если сотни, то точно сработает!-)

Если есть какие еще идеи, то пишите... Очень интересная тема, хотя немного off topic для этого форума. Ну да привяжем к коммутатору!-)

я тоже задумывался над данной проблемой, единственный технический путь это анализ трафика и выявление большого кол-ва сессий, но слишком уже геморойно и на коммутаторах нерешаемо (не будешь ведь сниффер на каждый коммутатор вешать, хотя если L3-коммутаторов в сети немного можно и повешать, заодно детальную статистику по трафику собирать и выявлять аномалии с помощью Snort или других IPS/IDS систем).

тут нужно задуматься об экономике и маркетинге - почему людям выгодно такие костыли мостырить вместо того чтобы напрямую к Вам подключаться и пользоваться всеми прелестями официальной техподдержки.

запрет dhcp и ip mac binding настроен на каждый порт 3526, у меня они оконечные коммутаторы - 1 порт - 1 пользователь.
Это довольно дорогое удовольствие и посему берется абонка в виде 100 р в месяц, цена хоть и символическая, но думаю, нет даже уверен что найдется много человек кто решит что и это много и зачем платить если можно купить умную железку и использовать ресурсы сети на халяву.
Ну впринципе все понятно, бум думать, переодически сниферить и прислушиваться к слухам в сети