在网吧，ROUTEOS如何对付恶意破坏者？

jack_i5

以前，我一直在使用WIN2003的NAT作网关，运行还算稳定。速度不是很出色。后来，出于竞争上的考虑，换了ROUTEOS2.7.14作网关，整体让我非常满意，现在几乎没有客人再喊“卡”了。电信10M光纤本地电信网下载达到3M的速度。再后来，也不知道是附近网吧派人来捣乱还是确实有那么一些变态的人，总是在乘我不在的时候用网络执法关等一些卑鄙手段修改自己机器的IP地址为网关地址，弄的全网吧整体掉线。而且多半发生在包夜期间（这段时间基本上我在家）。WIN2003的时候偶尔也遇到这样的事情，但是，最多最多2003只是报一下IP冲突的错误，不会发生掉线。这样的情况，我真的不知道该怎么设置ROUTEOS才对啊。哥哥姐姐们帮我啊。我对ROUTEOS非常有信心的啊！我不想丢下它改用别的，ROUTEOS真的让人省不少心。

五色子

帮你顶一下.我也想知道.虽然现在还没遇到搞破坏的.但还是怕怕的!!!!

sblive

WIN2003在这方面最为出色，特别是ARP处理后对ARP欺骗有一套解决的方法。我认为如果你要做到完全防护的话，最好主干交换机有端口，IP，MAC三为一体的绑定，把关键IP都绑定就成了。不过这样做成本很高。。其实较为经济的方法就是换成WIN2003。或用CL路由，在LINUX区有别人写好的CL路由，用的是广播IP和MAC地址可以做到。

zyling

客户机用权限控制, 不能随便更改IP地址不就行了

jack_i5

QUOTE (zyling @ Dec 14 2004, 02:29 PM)
客户机用权限控制, 不能随便更改IP地址不就行了  
  问题是：我的网吧没有限制下载，那么网上这样专门搞破坏的软件到处都是。单单靠权限设置是只能对付菜鸟。

zyling

那就控制不让乱下载啊让客人乱下载东西乱安装不是也很糟糕

zyling

要更改IP地址应该需要有 Administrators 组的权限吧别用管理员身份的账户登录应该不能改动IP地址

JJkafei

QUOTE (zyling @ Dec 15 2004, 12:42 AM)
要更改IP地址应该需要有 Administrators 组的权限吧别用管理员身份的账户登录应该不能改动IP地址  
  如果工作站是9X呢?

qfqiufeng

在内网加两个ＩＰ如１９２．１６８．０．１　１９２．１６８．０．２　dhcp里设两个网关１９２．１６８．０．１　１９２．１６８．０．２

rainy

作 ARP 绑定吧

csio

哦，那样会累死人的

0779hjj

如果我把客户机的网卡MAC地址改成和网关的网卡MAC地址一样结果会怎么样呢？

pxgxb

解决办法：1、内网指定IP地址，关闭ROS的DHCP-server服务；2、使用静态ARP表绑定IP,设置内网网卡的arp为reply-only；3、设置防火墙规则不允许内网的机器访问ROS的80、21等管理端口；这样的话随他怎么改，最终改得是他自己那台机器上不了网

jack_i5

理论上可行，回去先试试不知道楼上的测试过没有。我想如果经过测试，我就直接加上了。网吧规模比较大（500台），不可能停下来的。还是谢谢一下！至少很多人都得到了帮助！

JJkafei

我就是用了ARP.把.公司的几台服务器都ARP了....管它怎么改都不怕的...