|
楼主 |
发表于 2017-3-1 13:22:02
|
手下管几百台设备,有台式机,有手提,也有移动平板、手机等。既要保证上网通讯,又要保安全使用,任何上网均记录下'谁人什么时候在哪用',这是保护老板也是保护自己的必要手段。
分几个子网,台式机全要拨号上网,移动设备必须登记受权方可上网,非受权设备用防火墙阻止上网。系统基本上全是FreeBSD,只有数据库用debian,无他,只是用得顺手。
DNS自己配置,pppoe用FB自己配置,路由器也是用FB做,代码自己爬……
在边界路由器上用nmap -sP扫描在线机器,然后抽取MAC/IP对,若MAC库中不存在该记录则入库并标记为新记录,顺便登记当前活动设备。
管理端核查新记录,填写该机有存放位置、机主等其他信息,然后分类。分为四类:动态、静态、保留和未知。除静态类外,其他类均不能直接上网。
后台脚本定时检查库中是否有改动,有则抽取数据库中的动态类和静态类IP生成dhcpd.inc.conf并重启dhcpd。
路由器上后台每分钟用nmap -sP扫描网段,以更新当前arp表,读取当前arp表取得活动的Mac/ip对,与库中登记的mac/ip对比较,不一致则添加防火墙规则封杀该IP的网络通讯,又或者禁止所有通讯仅允许登记过的设备。
当然了,还是让别人有机可乘:伪造MAC或禁ping或自己做个pppoe服务器挂进网络偷取用户名密码。对于这些高手蹭蹭网也算对得起他。 |
|