Principales respuestas
Tabla ARP estática en Windows Server 2012 R2

Pregunta
-
Saludos,
Tengo algunas dudas respecto al asunto, implementé una tabla arp mediante un bash que se ejecuta en el Logon por una GPO en todos los equipos, en el bash primero elimino la caché arp (netsh interface ipv4 delete arpcache "Ethernet") y a continuación establezco entradas estáticas (netsh interface ipv4 add neighbors "Ethernet" "xxx.xx.xx.xx" "00-19-db-65-dc-c7"), al final con arp -a verifico que se encuentran estáticas, sin embargo observo que equipos de la LAN que no incluí en el bash hacen ping al Servidor y este responde, este es un ejemplo, pero yo pensaba que al tener una tabla arp estática garantizaba que mi equipo solo se comunicaría con los equipos que tengo en el bash, pero en este caso no me funciona así, tal vez me falta algo.
Necesito sugerencias y ayuda.
Muchas gracias a todos,
Daniel.
Respuestas
-
Hola Daniel, la tabla de ARP se genera en forma automática, así que por más que agregues entradas estáticas, la comunicación entre máquinas hace que se aprendan nuevas entradas en forma dinámica
Si el objetivo es limitar la conectividad entre máquinas creo que lo indicado sería la configuración del cortafuegos, que también se puede hacer por GPO
Si aclaras el objetivo quizás se pueda ver cuál opción se adapta mejor
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M lunes, 2 de enero de 2017 4:36
- Marcado como respuesta Moderador M martes, 3 de enero de 2017 16:46
Todas las respuestas
-
Hola Daniel, la tabla de ARP se genera en forma automática, así que por más que agregues entradas estáticas, la comunicación entre máquinas hace que se aprendan nuevas entradas en forma dinámica
Si el objetivo es limitar la conectividad entre máquinas creo que lo indicado sería la configuración del cortafuegos, que también se puede hacer por GPO
Si aclaras el objetivo quizás se pueda ver cuál opción se adapta mejor
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M lunes, 2 de enero de 2017 4:36
- Marcado como respuesta Moderador M martes, 3 de enero de 2017 16:46
-
Saludos Guille y muchas gracias por su atención, para garantizar una ARP stática en cada reinicio se ejecuta un script automáticamente en el Startup, como expliqué el script borra la arp caché y establece la que yo necesito con los IP y MAC de los equipos de mi red, esta medida se implementa por una GPO a todos mis equipos garantizando que todos trabajen con las mismas entradas arp y estáticas, supuestamente esta medida debe garantizar que un nuevo equipo (PC ó Laptop) que se conecte a mi red con una IP del rango permitido pero con una MAC que no está en mi tabla arp, ese equipo no debe comunicarse con el resto de los equipos.
Al respecto qué puedes decirme o recomendable?
-
Hola Daniel, no tengo claro qué estás buscando :)
Si es por seguridad es bastante relativo porque cualquier usuario con una máquina ajena puede cambiar su "MAC Address" y todo lo que hagas perdería sentido
En general, y sin entrar en gastos, más sencillo aunque con limitaciones sería manejarlo con los cortafuegos, o evitando que el DHCP si está sobre Windows envíe configuración IP a máquinas que no son parte del Dominio
Si fuera por evitar los "broadcasts" de IP yo no perdería tiempo porque no hay forma de evitarlos totalmente ni son tráfico significativo
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.