Перейти к содержимому
Калькуляторы

ограничить IP на порту клиента

обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, jone31 сказал:

обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

Вариантов два:
1) на интерфейсе к которому подключен клиент включить режим arp reply-only и прописать связки MAC-IP вручную.
2) на интерфейсе к которому подключен клиент включить режим arp reply-only, создать DHCP-сервер. В DHCP-сервере прописать режим static-only, поставить галку "add arp for leases" и создать в списке вручную лизы MAC+IP

Вообще, если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет с привязкой к маку это все понятно. А без привязки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, nkusnetsov сказал:

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

нормально это как?

у нас поднят OSPF на бордере и брасе.

сейчас клиент может поставить любой наш IP и он будет работать, вопрос - как от этого защитится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Клиента в отдельный L2 сегмент. Сегментировать надо сеть, а не разводить огромный L2 на весь город.
Порт CRS125 выкидываем из бриджа/свитч-группы. Навешиваем на него IP-адрес, который будет являться "default gateway" для клиента. У себя прописываем маршрут в выделенную клиенту подсеть через CRS125.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

он сегментирована vlan на кампусы, все vlan сходятся на брасе где темринируются pppoe.

для клиента отдельный vlan до браса, но брас знает обо всех наших IP, поэтому если прозрачно пустить клиента он смоет использовать любой IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чёт не соображу, если отдельный влан до этого абонента, и в него заруотили выданную сетку адресов,

с какого он будет работать-то, если поставит левый адрес. Он же обратные пакеты на него не получит.

Или речь именно про исходящие пакетики с подставленного ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, обратные не придут. А вот исходящие могут навредить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже давно пора забыть про вланы.

 

Если надо абоненту выделить несколько IP так, что бы он руками другие не вбивал, то просто вешаете на порт адреса поштучно, вида IP = 10.0.0.1 а в network указываете адрес абонента, например 10.0.0.100, абонент указывает шлюз 10.0.0.1 и маску сети любую, лишь бы в нее попадал выданный ему адрес. Никакие другие адреса работать на этом порту не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.