Файловый обмен с ограничением прав
 

Уважаемые знатоки!
Предистория:
1.есть локальная сеть (192.168.0.1-192.168.3.255 маска 255.255.0.0)
2.есть в ней пользователи - те кто учавствует в жизни сети (помогают кто чем - кто финансами - кто прокладкой, перезагрузками свичей, бегают в общем по подъездам) и есть халявщики - ни денег ни помощи.
3.политика SuperAdmina - абонентку не вводить, нам простым типа модерам - остается тока смириться.
4.есть возможность доставать новинки (как видео так и игры, музыку)
5.нет желания открывать доступ всем.

Итак проблемма:
1. Как ограничить права (используя MAC адрес) для ограничения доступа к файловому архиву. Архив будет на сервере. Размер предполагается пока 250гигов. по мере заполнения - докупим еще. FTP сервера как я понимаю - ограничивают только доступ тем, кто не знает пароля. FTP сервера - Это не решение.
2. Посоветуйте файловый обменник типа Rapid'ы. Опять же только если у него есть доступ (чтобы человек мог и заливать файлы на сервер и скачивать, опять же при отсутствии интереса к этому файлу например в течении месяца - чтобы файл переносился в диррекорию типа "Корзина")
3. Если таковых нет, подскажите как так сделать.

Советы типа "Купите софтинку" - не приемлемы (по крайней мере при цене выше 300р/$10)
Надеюсь на толковый, развернутый ответ + ссылочки на софтину.

Огромное спасибо тем кто поможет

Вот в посте указано волшебное слово "свитч", относительно его есть пара вопросов: поддерживает ли он VLAN и есть ли у него возможность использования access list. Т.е. если файл сервер запихнуть в VLAN отдельный и все "хорошие" машины положить туда же, а плохие в другой VLAN. Соответственно доступа не будет. Ну а если есть возможность контроля доступа(в частности такое есть на HP proCurve 26 series) то можно в один свитч впихнуть хорошие компы и файлсервер и тупо забить mac для каждого порта, например.


п.с. Думаю, что есть более простые решения и более умные,..... но почему то они меня не посещают щас :)

madmax24,
Огромное спасибо за совет, но в данном случае он не применим, т.к. свичи (или свитчи :) ) у нас разномастные - по большей степени самые дешовые. Так что они не поддерживают всякие там ограничения прав и т.п.

Опять же повторюсь - решение проблеммы должно быть максимально дешовым (без покупки управляемых свитчей и дорогостоещего софта)

Уверен что у народа есть толковые и действенные советы. Таких локалок как у нас ,по стране, сотни а может и более и по этому я думаю поможете мне - поможете очень многим.

Опять же спасибо ВСЕМ кто откликнется и предложит свои варианты!!! - Рассмотрим ВСЕ!!!

hunterkomp, я вот тут подумал в течение дня и пришел к такому выводу, што на канальном уровне(а раз идет речь о mac адресах, то они используются тут) разграничения можно делать либо vlan'ами либо контролем доступа(acсess lists) Это не умеют неуправляемые комутаторы. Разграничение на сетевом уровне можно делать фаерволами(а они уже есть софтверные, а значит приобретенные с найденными :) ключами). Если соответственно выше поднимаца, то там уже и логины и пароли и прочее...
Это я к тому хочу сказать, што возможно охрану файл сервера попробовать поднять выше чем на канале, в связи с малым бюджетом?

- Средствами сервера это не делается, т. к. решение будет либо очень медленное, либо дорогое (сетевая карта должна обладать функциями Акселератора, разбирать VLAN и т.п.)

Вот стандартное решение для "бедных", правда для UNIX систем:
- ARP-служба на сервере конфигурируется таким образом, дабы ARP-таблица была статичной и редактировалась только руками. Этим мы добиваемся стабильности пар IP-MAC
- После этого на сервере в сетевых службах со спокойной душой можно пользоваться ограничениями по IP
- Вообще-же очень сильно желательно разделить сеть на сегменты 3-го уровня
Не совсем правда понятно сколько именно сегментов, т.к. если судить по маске, то у вас 256*256 хостов, если же по приведенному диапазону 3*256 хостов
--------------------------------------------------------------------------------------------------------------------
Это не правда. Что SAMBA, что FTP легко настраиваются для ограничений по IP
Однако лучшим выходом будет все таки раздача Логинов и Паролей.
Если в вашей сети есть кулхацкеры, тогда FTP - не безопасен.
--------------------------------------------------------------------------------------------------------------------
Что касаемо денег.
Да, все это возможно реализовать на свободном ПО.
Однако дабы все это прилично настроить потребуется около недели.
Специалист высокого класса будет драть с вас, ну скажем штуку в день, - итого почти 300$

kim-aa, у меня вопрос: а насколько сложно в unix системах сломать arp таблицу? Я имею в виду это сложнее чем сломать логин/пароль?

madmax24,

Гы, а причем тут ломание? Оно не возможно в принципе и не зависит от ОС. Я просто не встречал реализаций данной идеи под win.

Суть идеи в чем:
- Когда пакет отправляется на какой-либо IP-адрес , см. например http://wiki.oszone.net/index.php/Шлю...к_это_работает , при передаче данных с сетевого на канальный уровень OSI, где адресация при помощи MAC-адресов, - осуществляется преобразование IP в MAC при помощи ARP.
Обычно это широковещательные запросы, в результате формируется ARP-таблица, где
IP-адресу соответствует MAC-адрес.
- При статической ARP-таблице сервер физически сможет ответить лишь IP-адресам прописанным в ARP-таблице.
Более того, он сможет ответить только парам IP-MAC.
Т. е. данный прием защищает сервер от доступа при помощи подмены либо MAC, либо IP.
Однако он не защищает от парной подмены MAC+IP, что в прочем более чем достаточно для большинства доморощенных "кульхацкеров".

Нечто подобное используется в свичах D-Link, как "IP-MAC Binding"

Извиняюсь, я неправильно словцо то нужное подобрал :) Я имел в виду насколько сложно доморощеному кульхакеру в unix системе получить доступ к файлу с arp таблицей и "поисправлять" его. Типа без пароля su не получица?

Да.

вот пример реализации http://ism.tup.km.ua/apache/mac_ip.html

Спасибо, вот в каникулы и почитаю :)

с Unix'ами всякими там пока не сталкивались..., да и знатоков такого у нас в сети нима СОВСЕМ - значит не вариант, остается только Windows (наверное повторюсь: сеть для бедных!!! - подняли ее 5-7 пацанчиков по большей степени за бало которое заработали "продавая обувь" :)

да действительно 3*256 (единица и двойка заняты 70-90%, тройка на 10-20%)

Тогда может НЕ на сетевом уровне а на программном? если знаете какой софтец использовать - подскажите!

Вообще не вариант! - на эти 300$ мы или с десятка 2 пользователей подключим или лучше вай-фай кинем до микрорайона. (да и не будет у нас стока причем сразу)
Может есть все-таки простое решение - ну хотябы софтец (руссифицированный конечно), а? (а желательно прямую ссылочку)

hunterkomp, Вы имели ввиду не на аппаратном, а на программном. Подсказать могу фаерволл керио - можно сделать достаточно многое не нем, он не сложный, но платный. (Я просто сам его достаточно долго использовал). Он как и все МСЭ работает на 3 уровне модели OSI (т.е. на сетевом., оперирует ip пакетами).
Но все же раз Вы повторяетесь, што решение сааааавсем мало бюждетное, то лучше UNIX ничего найти не удастся, .....хотя скоро новый год, а там всякие чудеса бывают ;) Удачи в реализации вашей задачи в новом году.

madmax24,
спасибо за совет, будем дерзать. Если что либо придумаем или найдем простое решение - обязательно расскажу...

Одним из стандартных дешевых решений для контроля пользователей в крупной широковещательной сети,
является поднятие собственного VPN-сервера и допуск к ресурсам, которые следует ограничить, фильтрацией или правами VPN-пользователя.