iT邦幫忙

4

公司有人常常亂改IP位置(想問有甚麼辦法可以將IP鎖住不給更改)

  • 分享至 

  • xImage

如標題所述
在請大家幫幫忙 感謝各位大神(剛踏入資訊業的小弟在此感謝)

更新 因小弟剛進公司時上一位資訊就已離職多月,導致小弟什麼都沒交接到,並且公司有些設備是給外面資訊公司管控,小弟也無權限從去做變更。
據我了解之前公司有做設備列冊,但最近有許多人改了DHCP導致IP亂掉,看設備列冊也沒用了,小弟目前只能重新列冊並且將權限降成user

看更多先前的討論...收起先前的討論...
YC iT邦好手 1 級 ‧ 2024-04-22 12:58:00 檢舉
你們用什麼方法限制員工的IP?
尼克 iT邦大師 1 級 ‧ 2024-04-22 15:03:13 檢舉
你不想讓別人改IP的目的?
BKY iT邦好手 1 級 ‧ 2024-04-22 15:24:37 檢舉
我想樓主的意思是不是有人經常把自己的電腦IP位址改為手動,然後造成IP衝突?
froce iT邦大師 1 級 ‧ 2024-04-22 15:43:29 檢舉
把使用者的admin權限收回來...
1. DHCP 鎖 MAC 直接發鎖定的 IP
2. 交換器 端口 鎖死IP與MAC,拋棄不匹配的MAC與IP所有封包
3. 防火牆綁死MAC 與 IP,不匹配一率封鎖
BKY iT邦好手 1 級 ‧ 2024-04-22 16:49:41 檢舉
樓上是好方法,不過對資訊菜鳥來說應該太難了一點
pis520 iT邦新手 1 級 ‧ 2024-04-23 08:47:07 檢舉
防火牆鎖MAC對應IP即可。
https://ithelp.ithome.com.tw/questions/10001457
是有人常常把自己電腦改成dhcp導致把別人的固定ip吃掉使別人無法上網(一周發生好幾次)
harry731 iT邦新手 2 級 ‧ 2024-04-23 12:02:42 檢舉
改DHCP有問題嗎?
要不要考慮一下,那些有固定IP的統計一下,將固定IP列入保護別發放,不就好了
froce iT邦大師 1 級 ‧ 2024-04-23 14:34:01 檢舉
> 是有人常常把自己電腦改成dhcp導致把別人的固定ip吃掉使別人無法上網(一周發生好幾次)

你固定IP怎麼會放在DHCP的池裡被配發出去...這網管不及格吧。
樓主
你的防火牆 廠牌型號是什麼??
你的SWITCH 廠牌型號是什麼??
新手網管基本功要有
1. 先把網路架構圖畫出來,不會弄,找一下 THE Dude (感謝竹本大提醒修正)
讓這個軟體幫你抓內部的網路架構圖
2. 規劃所有的用戶端如何設定IP,建議就是DHCP 然後全部 IP + MAC 鎖定
3. 如果有無線網路給BYOD裝置使用,安全性要特別注意,找能用戶端隔離的AP來用會比較安全
4. IT業界內有很多線上研討會,請務必安排上課,了解IT產業的趨勢還有各種的管理方式,有問題就線上發問
只要問題不是太誇張,都會有講師與先進回應的
5. 如果沒交接到設備的管理帳密 ( 這很重要 ),你要有重置後重新設定的心理準備,這些設備的管理帳密一定要列冊管理,一定要掌握住,這非常的重要
6. 外租的服務的管理帳密從網域名稱到公司網站,到各種雲端服務都要列冊管理,如果沒有,想辦法去要到,國內服務還好,國外會很麻煩,國內還認公司資料,國外是認管理者信箱,就怕申請人用自己的信箱申請,一離職就直接帶走然後 ... 很難要回來,或是得花錢才能要回來,會非常的麻煩
個人也是有樓主類似的經驗,上面心得跟樓主分享,希望樓主能盡快上手,順利完成管理計畫
The Dude 才對
想說GOOGLE 找了好久 都找不到 THE TUDE 這個軟體
前面很多人提了很多建議,但最簡單的方式就是user帳號從administraors群組移除就好了....
不過我要先確認你公司的電腦到底有沒有加網域啊?如果是本機administrator就比較麻煩了
不過話又說回來,dhcp照理來說,設定上不能派發固定ip才對,譬如說你的固定ip有10.0.0.1、10.0.0.2,那dhcp就應該要從10.0.0.3開始派發才對,不然你這樣dhcp未來使用上還是會搶到固定ip
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
3
Ray
iT邦大神 1 級 ‧ 2024-04-22 12:54:46

先問: 為何用戶端改 IP 會對你造成困擾?

bluegrass iT邦高手 1 級 ‧ 2024-04-23 10:18:57 檢舉

改成GATEWAY IP能不困擾嗎?

因公司有設定固定ip 但有些人會自己去改自動ip把別人的ip搶走,導致同仁連不上網路

rb1102 iT邦研究生 2 級 ‧ 2024-04-23 18:05:38 檢舉

邏輯有點怪,你DHCP配發的範圍就不該跟固定ip衝突
請把固定ip排除在dhcp池外

0
SunM0on
iT邦新手 4 級 ‧ 2024-04-22 13:10:19

內網IP?
有沒有可能只是DHCP租約到期,沒有人改IP?

通常情況下
對外的網路IP不會"常常"亂動的

問清問題比較重要,你的常常頻率是指多久一次呢?
還有雷大提到最關鍵的,你真正想解決的問題是甚麼?

4

L2 Switch ip bind mac
Vigor Router firewall ip bind mac

都可以

L2 Switch ip bind mac 設定好像有點麻煩
有文章或關鍵字嗎?

VigorSwitch G2280x
Switch LANMAC Address TableStatic MAC Setting
Static MAC

VigorSwitch G2282x
ConfigurationMAC Address Table
Static MAC

https://ithelp.ithome.com.tw/upload/images/20240423/20001416zucO6LIUED.jpg

https://ithelp.ithome.com.tw/upload/images/20240423/20001416filn3GIBnY.jpg

1
望空
iT邦新手 1 級 ‧ 2024-04-22 14:35:10

Static MAC Table + 1 to 1 DHCP IP to MAC binding.

0
不明

先詢問,你是用甚麼裝置設定IP的,是在電腦主機上,還是在網路設備上?

0
sucksemil
iT邦新手 1 級 ‧ 2024-04-23 10:11:26

1.員工為何改ip?
2.你為何不希望員工改ip?

搞清楚上述兩個問題後再來想
1.為什麼你們員工都是admin權限??
2.你是否想把指定ip的權限收回來??

全部都搞清楚確定後
就把員工admin權限都改成user吧,這並不必須有網域環境才能做,網域只是方便管理,單機一樣能一台一台收回
權限收回後看你要本機設固定ip或是使用dhcp都可以

如果是單機管理者權限收回,他就有得忙了,軟體介面喜好設定環境是綁在使用者帳號底下,全部還原到新建的user帳號上,不容易

sucksemil iT邦新手 1 級 ‧ 2024-04-25 08:35:27 檢舉

這就要看當初如果公司無網域環境,user是不是直接使用admin的帳號了
不過如果是win10,安裝時都會要求建立帳號然後給予admin權限,不會直接用admin帳號

不過以上都是假設公司無網域,這點樓主無說明

0
kevinwang326
iT邦新手 5 級 ‧ 2024-04-23 10:15:29

有軟體式和硬體式控管方式
硬體式用防火牆寫規格,或是L2 switch本身有IP-MAC對應表的功能
軟體式用NAC(google一下),把所有流量導一份給主機,讓他做分析和中控

而且看起來你們公司的管理者權限外放或是network configuration讓user可以自己設IP,建議收回

是的 不知是否是上一個資訊還是公司的外包資訊做的
但因為我來公司時公司上一個資訊就已離職 我沒交接到任何東西,只能一個人慢慢摸索...

peter258471單位的資訊主管也沒教你嗎?

2
bluegrass
iT邦高手 1 級 ‧ 2024-04-23 10:21:07

把改IP的員工名子張貼在公司當眼處訓示

如果是老闆改的IP也一並訓示

訓斥老闆完順便把離職單附上

0
nike520207
iT邦新手 5 級 ‧ 2024-04-23 11:20:41

1.權限太大降成USER(但要看公司以前的習慣,他們會自己安裝軟體等等不受控管,你很難去降權限,過來人,以前剛接手一改他們習慣被電到天上去)
2.買專業安控軟體例如IPG

0
BKY
iT邦好手 1 級 ‧ 2024-04-23 11:29:35

這很好解決啊
把公司IP全部盤整一遍
固定IP集中到一個範圍,例如1~100
DHCP就設定從101開始往後配發
把範圍區分開就不會衝突了

0
play0210
iT邦新手 4 級 ‧ 2024-04-23 11:39:36

打造一個讓你工作輕鬆的環境,user不讓你爽,你也不用讓他爽
管控嚴謹工作才會輕鬆,因為電腦的問題會越少,你要解決的指是人的靠腰而已

初階版本
1.鎖權限,user電腦一律user最小權限登入使用
2.紀錄所有user的ip在哪,誰在使用,是後比較好追蹤誰有異常

進階版本
1.架設DHCP SERVER,管控端要在你手上盡可能不要在USER電腦,會讓你工作輕鬆很多
2.架設AD SERVER鎖得更多還能派送軟體安裝,以可遠端鎖USB

1
sam0407
iT邦大師 1 級 ‧ 2024-04-23 12:18:39

是有人常常把自己電腦改成dhcp導致把別人的固定ip吃掉使別人無法上網(一周發生好幾次)

您手裡有所有需要固定IP的設備清單嗎?沒有的話請務必先整理出來。
再來您要將DHCP Server配發IP的區段避開這些IP,若目前已知的固定IP已經很零散,建議請部份的人改IP,或是將這些設備在DHCP Server上設定綁定MAC分配固定的IP。

其實我大概知道樓主原本是什麼狀況
簡單說樓主公司原本的用戶端都是手動設定一個固定的內部IP、DNS、GW 位置
為什麼會這樣,因為公司內部有一堆不知道在哪裡的DHCP亂發IP
或是不知道DHCP怎麼綁定 IP + MAC 自動配發固定內部IP給用戶端
所以一但有人習慣的把IP設為DHCP自動取得與配發DNS跟 GW位置
那DHCP就會把已經被使用的IP配發給這些自動取得的用戶端,造成IP衝突
總之要改善就得把所有的設備列冊管理,仔細檢查所有設備的設定
把該關掉的DHCP服務關閉,把該做好的設定做好,這樣才能有效改善網路環境
才能天天喝下午茶跟妹打屁聊天,才能沒事就去上上課自我學習

@窮嘶發發發
樓主的狀況就是已經不是來it邦問的等級 /搖頭

@窮嘶發發發
的確如您所說...
詳細情況我已更新在內文

0
chuway
iT邦新手 2 級 ‧ 2024-04-25 14:38:06

會搞怪的就是那幾個
在Gateway採用靜態ARP,把他的IP/Mac address綁死

如果伺服器(Windows/Linux),
使用系統管理員執行
arp -S FF:FF:FF:FF:FF:FF 192.168.1.20
---^^大寫S ^^^^Mac Addrsss ====^^^IP

0
allen1975
iT邦新手 1 級 ‧ 2024-04-26 14:28:10
  1. 你主管夠力嗎?
  2. AD控管+行政命令

企業管理不是說 IT做到要死就好
上級主管要挺你,加上行政罰則
以後你會很輕鬆.大家又乖乖聽話

0
sd3388
iT邦好手 1 級 ‧ 2024-04-29 11:32:07

應該是公司環境內有人私接設備
例如私接無線分享器
通常這樣會因為user電腦開DHCP而取錯IP
IP衝突常發生沒關係
但是會一直找不到問題點才麻煩

我是建議趁你新來上手
公司還不太會怪你工作不力的時候
讓此情況惡化一段時間

這樣之後你提建議改進方案公司才會聽
屆時採用Fortinet資安鐵三角方案會比較推薦
直接改由設備辨識來管理網路
基本上可以永久根除這類問題
然後還可以順便做到進階資安管理
你個人職能技術也可進一步增長

我要發表回答

立即登入回答