求助：关于局域网内有些电脑不给上网，怎么才能真正解决！

hfx044

我们公司规定有一些电脑不给上网，然后我就在路由里把他们网卡的MAC地址给屏蔽掉了！
   我们公司有学计算机的，他们把我的IP填到他们的DNS中，网关也设成我的，然后就可以上网了，怎么才能让他们填上我的IP后也不能上网，请教~~~~~~~~~

hfx044

科来的朋友，请帮助我~~~~~

hfx044

关于这个代理的端口是多少，关掉以后对服务器及客户机有什么影响？

qzyuanmu

楼主检查自己的机器，设置一下就好了。

fengvsli

绑定IP,行不?????

oldjiang

方法一：在本机装科来抓包，无需特别部署，看看谁通过你的机器上网，结合管理手段。
方法二：在本机装个个人防火墙，比如天网防火墙的个人试用版，自定义规则。

wwwang

建议楼主使用代理这样比较好控制一点。
比如：squid

ctop17

装个软件firewall

hfx044

我就是想不用任何软件，就在系统中设定，不知道可以否？

他们通过我的机器上网，我真的很头痛！

Animal

学习一下，混点积分

oldjiang

原帖由 hfx044 于 2008-5-23 16:41 发表
我就是想不用任何软件，就在系统中设定，不知道可以否？

他们通过我的机器上网，我真的很头痛！

你的机器上应该装了什么软件吧，不然网关设为你的IP是不能上网的。

hfx044

回版主！

我好像没装什么软件，一般装什么软件能出现这种情况！

我介绍一下我这边的状况！
1、我的系统是2003server，作FTP服务器和RTX服务器，为不能上网的用户，做卡巴斯基的病毒升级服务器，共享有打印机！但只连了一个老总的机器，之前装过网络监控软件（网络警）后来卸掉了。
2、客户机全是winxp sp2，他们都有RTX客户端

我就不明白了，不会被谁安装了什么东西，我不知道吧~~~~~·

oldjiang

我做了个测试，192.168.1.91机器的网关和DNS都设为192.168.1.40，在IE输入新浪的网址，抓包如下

可见前两个包查询不到域名，后三个包（用新浪的IP地址）无应答。
我估计你的机器，第一有DNS服务，第二有代理或者路由什么的。
你的机器和老总的机器是怎么连的？最好描述一下拓扑吧。
最后，那些把你当网关偷偷上网的机器，他们发的包经过你到路由器，只是包的MAC地址改了，源IP地址并没有变（这点最好抓包证实），你的路由器除了屏蔽MAC，是否能屏蔽IP呢？看看手册。抓包可以用另外一台机器。

[ 本帖最后由 oldjiang 于 2008-5-24 18:31 编辑 ]

hfx044

回版主


我查了一下我的服务和应用程序，我开了DNS、路由，是不是就这个原因？

如果我把他们关掉，他们还连的上吗？

hfx044

顺便请版主帮忙看下，我的网络中存在哪些问题~~~~ 谢谢

oldjiang

我没有玩过2003，不知DNS和路由能否像一个服务那样停止，如果需要卸载，则最好先备份他们的配置。数据包我慢慢看一下。

oldjiang

1、红框里的机器就是通过你上网的，单向箭头说明他们是源地址。

2、以112机器为例，看他的数据包，注意源MAC地址、目标地址、IP标志、TTL


3、从诊断视图的网络层-ICMP主机重定向的目标列也能看到第一点所述的IP地址。在协议视图点ICMP-Redirect，看第一个6号数据包，注意IP标志


关于ICMP重定向，参考http://www.csna.cn/forum.php?mod=viewthread&tid=8521
4、经过你的机器转发，源IP地址并没有改变，而回来的包，路由器直接给了相应的机器。在路由器上屏蔽这些IP，他们就不能上网。

[ 本帖最后由 oldjiang 于 2008-5-27 14:10 编辑 ]

oldjiang

1、这两个私有地址，是局域网上存在的吗？

跟他们通讯的都是151机器，发包规律是两个UDP、两个TCP

跟http://www.csna.cn/forum.php?mod=viewthread&tid=8998 有点像，再抓包看看有没有发包给其他私有地址的，如果有，怀疑是用来搜索本地网络信息的。
2、协议视图，MSSQL、X-Window协议，有外网机器访问你的相应端口，被拒绝。如果是重要的机器，应该加强防护，比如防火墙规则。

[ 本帖最后由 oldjiang 于 2008-5-27 09:34 编辑 ]

hfx044

1、我把DNS、路由和远程给卸载了，今天我抓包看到我们原材料仓库的机器192.168.1.121和一直请求我的DNS，被拒绝。
2、路由是192.168.1.1，我的机器是192.168.1.100，你说的那个192.168.1.112是我们的打印机服务器，就一个网段是：192.168.1.100---192.168.1.210

3、那两个私有地址不是我们网里的，今天我又抓包时没看到~~·~~

4、我装的有花生壳，是通过路由转给我的~~~~用于访问我的FTP~~

5、关于你说的屏蔽IP，但我在路由里设置了，但好像不起什么作用，不知道是不是我设置有问题，具体见下图：

6、这是我下午抓的包

oldjiang

查看150机器的TCP会话如图

他上网的2017、4472两个本地端口都不在规则里面，按TP-LINK（猜的）的默认规则

所以他是能上网的。建议的规则：


看了许久才明白，这个防火墙是定义若干规则，符合规则的DROP，其余ACCEPT；而我熟悉的防火墙则是，定义若干规则，符合的ACCEPT，其余DROP。

[ 本帖最后由 oldjiang 于 2008-5-27 21:31 编辑 ]

oldjiang

19#工程文件，121机器，协议视图，每分钟查询80多次sandai.net，每次100机器都给他返回一个ICMP端口不可达，如7、8号数据包；google这个sandai.net，跟迅雷有关。没有了转发过程，估计他们是上不了网了，楼主最好做个正确的部署（在路由或交换机做端口镜像），抓包验证一下。121机器的Name Service包也比较有意思，结合13#的图，估计是查询域名无应答的情况下就发NBNS包，不过DNS查询了多个域名，为何NBNS只查询少数的一两个呢？回头做个实验看看，谁能告诉我，如何改XP的NetBIOS Name？比如改成www.sina.com

[ 本帖最后由 oldjiang 于 2008-5-27 23:25 编辑 ]

leesawin

在不能完全禁止他上网的情况下，最好是当面跟他沟通一下，说你的电脑不能通过我这机器上网

leesawin

版主分析得好详细啊，可版主能否给个真正的解决方案呢？我也想学习~

oldjiang

方案是我的弱项：
1、在本机或在交换机、路由器镜像抓包，都能看到00:1B:FC:6E:D8:42下有多个IP地址，参考17#就知道是哪些机器违反公司规定上网。
2、参考19#卸载本机上的相关服务，使那些机器不能上网，或者
3、在本机装防火墙，自定义规则，使那些机器不能上网，或者
4、参考20#，在路由器设置防火墙规则，使那些机器不能上网
5、最后，既然公司有规定，采取管理手段。
几个方法各有利弊，请leesawin补充一下

[ 本帖最后由 oldjiang 于 2008-5-28 08:55 编辑 ]

老兵

你在2003上面做了dns和路由，你就成了代理服务器了，可以通过你上外网。建议你想要限制客户端不能上外网使用域控制器吧，就在2003上面做，做个ou，限制访问外网的电脑。你在路由器上面做mac限制是可以防止对方访问外网的，但是mac地址是可以人为修改的，利用软件就能实现。