none
Tabla ARP estática en Windows Server 2012 R2 RRS feed

  • Pregunta

  • Saludos,

    Tengo algunas dudas respecto al asunto, implementé una tabla arp mediante un bash que se ejecuta en el Logon por una GPO en todos los equipos, en el bash primero elimino la caché arp (netsh interface ipv4 delete arpcache "Ethernet") y a continuación establezco entradas estáticas (netsh interface ipv4 add neighbors "Ethernet" "xxx.xx.xx.xx" "00-19-db-65-dc-c7"), al final con arp -a verifico que se encuentran estáticas, sin embargo observo que equipos de la LAN que no incluí en el bash hacen ping al Servidor y este responde, este es un ejemplo, pero yo pensaba que al tener una tabla arp estática garantizaba que mi equipo solo se comunicaría con los equipos que tengo en el bash, pero en este caso no me funciona así, tal vez me falta algo.

    Necesito sugerencias y ayuda.

    Muchas gracias a todos,

    Daniel.

    jueves, 29 de diciembre de 2016 20:30

Respuestas

  • Hola Daniel, la tabla de ARP se genera en forma automática, así que por más que agregues entradas estáticas, la comunicación entre máquinas hace que se aprendan nuevas entradas en forma dinámica

    Si el objetivo es limitar la conectividad entre máquinas creo que lo indicado sería la configuración del cortafuegos, que también se puede hacer por GPO

    Si aclaras el objetivo quizás se pueda ver cuál opción se adapta mejor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 2 de enero de 2017 4:36
    • Marcado como respuesta Moderador M martes, 3 de enero de 2017 16:46
    jueves, 29 de diciembre de 2016 22:19
    Moderador

Todas las respuestas

  • Hola Daniel, la tabla de ARP se genera en forma automática, así que por más que agregues entradas estáticas, la comunicación entre máquinas hace que se aprendan nuevas entradas en forma dinámica

    Si el objetivo es limitar la conectividad entre máquinas creo que lo indicado sería la configuración del cortafuegos, que también se puede hacer por GPO

    Si aclaras el objetivo quizás se pueda ver cuál opción se adapta mejor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 2 de enero de 2017 4:36
    • Marcado como respuesta Moderador M martes, 3 de enero de 2017 16:46
    jueves, 29 de diciembre de 2016 22:19
    Moderador
  • Saludos Guille y muchas gracias por su atención, para garantizar una ARP stática en cada reinicio se ejecuta un script automáticamente en el Startup, como expliqué el script borra la arp caché y establece la que yo necesito con los IP y MAC de los equipos de mi red, esta medida se implementa por una GPO a todos mis equipos garantizando que todos trabajen con las mismas entradas arp y estáticas, supuestamente esta medida debe garantizar que un nuevo equipo (PC ó Laptop) que se conecte a mi red con una IP del rango permitido pero con una MAC que no está en mi tabla arp, ese equipo no debe comunicarse con el resto de los equipos.

    Al respecto qué puedes decirme o recomendable?

    miércoles, 20 de marzo de 2019 14:04
  • Hola Daniel, no tengo claro qué estás buscando :)

    Si es por seguridad es bastante relativo porque cualquier usuario con una máquina ajena puede cambiar su "MAC Address" y todo lo que hagas perdería sentido

    En general, y sin entrar en gastos, más sencillo aunque con limitaciones sería manejarlo con los cortafuegos, o evitando que el DHCP si está sobre Windows envíe configuración IP a máquinas que no son parte del Dominio

    Si fuera por evitar los "broadcasts" de IP yo no perdería tiempo porque no hay forma de evitarlos totalmente ni son tráfico significativo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 20 de marzo de 2019 15:42
    Moderador