Talvez seja necessário incluir uma rota para 10.10.10.254
, no seu exemplo. Essa rota pode ser "anexada localmente a essa interface" (por sua causa, espero que seja).
Estou tentando desenvolver uma extensão de imposição de DHCP, como o Microsoft NAP. Meu truque para bloquear máquinas solicitantes de IP dinâmico (que não atendem a determinada política) é remover o gateway padrão (sem gateway padrão) indicado na concessão de IP e definir a máscara de sub-rede de concessão como 255.255.255.255.
Agora preciso que as máquinas bloqueadas possam acessar alguns locais específicos (IPs) na rede. Para permitir isso, estou incluindo algumas rotas estáticas no contrato. Por exemplo, estou incluindo 10.10.10.11 através do roteador 10.10.10.254 (aquele para o qual a máquina bloqueada que precisa acessar 10.10.10.11 está conectada).
Infelizmente, assim que eu definir o gateway padrão como nada, as máquinas bloqueadas não podem alcançar nenhuma das rotas estáticas adicionadas. Eu também tentei rotas estáticas sem classes.
Alguma ideia? alguém sabe como o MS NAP realmente faz isso?
Talvez seja necessário incluir uma rota para 10.10.10.254
, no seu exemplo. Essa rota pode ser "anexada localmente a essa interface" (por sua causa, espero que seja).
Eu acho que o problema é com a definição da máscara de sub-rede como 255.255.255.255. Você está essencialmente dizendo ao computador que ele está em um segmento de rede sozinho e, em seguida, não dizendo a quem falar (ou seja, o gateway) para se comunicar com outros segmentos de rede. A solução correta seria configurar um segmento de rede privada com um servidor de gateway real que não tenha roteamento configurado para a LAN e, em seguida, configurar rotas estáticas da rede privada para os endereços de LAN desejados. Como alternativa, você precisaria colocar os computadores em um segmento de rede somente de transmissão com uma máscara de sub-rede grande o suficiente para alcançar os endereços desejados e, em seguida, configurar as rotas estáticas em quaisquer roteadores aos quais as máquinas estivessem conectadas.
Para simplificar: Sem gateway = somente transmissão, 255.255.255.255 subconjunto = sem difusão (todas as rotas para o gateway)
Bill Weiss: Nós tentamos isso (adicionando o endereço do roteador como uma rota estática onde o gateway é o significado especial 0.0.0.0 no mesmo link). Isso permitiu que um ping alcançasse o roteador, mas não a máquina de destino (a outra rota estática através desse roteador).
Greg Bray: Encontramos uma solução intermediária em que máquinas bloqueadas em segmentos de rede diferentes dos da tabela de rotas estáticas (a serem alcançadas) podem executá-las. Basicamente, configuramos o gateway padrão como 0.0.0.0 e a máscara de sub-rede como 255.255.255.255, o que significa: por favor, consulte a tabela de rota estática para quaisquer dúvidas. Também configuramos o gateway de rotas estáticas para 0.0.0.0, o que significa que esse gateway está no mesmo link que a máquina bloqueada (acho que, corrija-me se estiver errado, por favor). No entanto, alguma idéia de como podemos fazer o ping de máquinas no mesmo segmento por um bloqueado?
Mais uma coisa: Imagine duas máquinas bloqueadas usando a configuração acima do gateway padrão e da máscara de sub-rede. Agora, para a máquina A bloqueada para executar ping em outra máquina bloqueada B, também preciso de uma rota estática em B para A para que B possa responder a essa solicitação de ping (supondo que A já tenha uma rota estática para B)? Quero dizer, o ping responder utiliza as informações nos cabeçalhos de solicitação de ping sobre a máquina solicitante para responder a ele? ou precisa de roteamento estático explícito para essa resposta?
Obrigado a vocês:)
Parte do problema que você está enfrentando é que você está bloqueando uma rede mais específica do que sua rota estática. Os roteadores escolhem qual rede enviar as coisas com base na Distância Administrativa, e as rotas estáticas têm uma Distância Administrativa de 1. No entanto, elas ignoram o AD se uma rota diferente for uma rede mais específica (também tem mais bits de rede do que bits host). Então, se você está configurando sua máscara para 255.255.255.255, você é todos os bits de rede e sua rota estática para uma rede + host está sendo ignorada.
Além disso, como isso é muito importante, já que eles podem definir suas informações manualmente e ignorar completamente esse sistema?