Jump to content

FreeBSD и блокирование IP адресов

anclbob
 Share

Recommended Posts

anclbob

anclbob

Posted
Posted

Подскажите как возможно заблокировать диапазон ip адресов 192.168.0.0-192.168.254.254

 

я сделал файл в 65 тыс строк

вот таких

ifconfig_fxp0_alias0"inet 192.168.0.0 netmask 255.255.255.255"

.....

ifconfig_fxp0_alias65434="inet 192.168.254.254 netmask 255.255.255.255"

 

примерно получилось 65 тыс строк. Всю эту хрень занёс в rc.conf , но фря загружалась минут наверное 20 , и не заблокировала весь диапазо, дошла только до 192 подсети.

 

Как решить такую проблему что бы нежелательные пользователи не могли попасть в сеть никак

anclbob

anclbob

Posted
  • Author
Posted
он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве

GateKeeper

GateKeeper

Posted
Posted

Поставишь линукс и будешь долго париться (линукс не умеет published arp-entry, хотя, может от ядра и дистра зависит, пробовалось на slackware 10.1 и 10.2).

 

Пока всё правильно делал.

Составь файл формата:

ИП-адрес[пробел]МАК-адрес[пробел]pub

 

по 1 ИП на строку. МАК можешь взять левый для тех IP, что не должны в сети быть (например, fa:fa:fa:fa:fa:fa или ff:ff:ff:ff:ff:ff но последний вариант жестокий :) ). слово pub ключевое.

 

Далее в /etc/rc.local строчку:

/usr/sbin/arp -f /путь_к_файлу/имя_файла

 

Всё. Чтобы не перезагружать сервак просто выполни эту самую команду в консольке. Для упрощения можно затащить это в SQL-таблицу и админить оттуда а обновлять при помощи простенького скрипта на sh (diff, cut, patch, arp ...) по крону.

 

Ну а если совсем правильно - MAC_security на коммутаторе клиента, port down вообще самый верный вариант.

anclbob

anclbob

Posted
  • Author
Posted
Тогда статическая ARP таблица, если нужна привязка IP к МАС :)

 

ну причём тут это !!! это просто блокирует доступ на сервак при смене ИП адреса. мне что бы в сеть зайти не могли!!!

Vovik

Vovik

Posted
Posted
мне что бы в сеть зайти не могли!!!

 

по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D

anclbob

anclbob

Posted
  • Author
Posted

мне что бы в сеть зайти не могли!!!

 

по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D

 

что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак. А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

короче я так понял никто ничего не знает?

balamutang

balamutang

Posted
Posted
короче я так понял никто ничего не знает?

конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать...

anclbob

anclbob

Posted
  • Author
Posted

короче я так понял никто ничего не знает?

конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать...

 

да нет гений сдесь ТЫ! посмотри сколько сообщений подобного рода настрочил и ниодно по делу

balamutang

balamutang

Posted
Posted
он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8?
anclbob

anclbob

Posted
  • Author
Posted
он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8?

 

нежелательные пользователи друг друга не знают! их процентов 15 в сети... вообщем ваш вопрос имеет только теоритическое основание

Vovik

Vovik

Posted
Posted
что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак

 

ну ладно. в качестве чего работает сервер?

anclbob

anclbob

Posted
  • Author
Posted

что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак

 

ну ладно. в качестве чего работает сервер?

 

в качесте большой заподлянки для неоплативших пользователей блин! Вообщем система с 65 тыс. строк в rc.conf отлично заработала на более мощьном компутере...

всем спасибо!

Motorband

Motorband

Posted
Posted

Ну если в качестве мега-подлянки, то есть вариант использовать программу умеющей справляться время от времени с arp-таблицей и в случае не соответствия ложную arp-табличку неплательщику подсовывать. На память приходит livearp. Еще другие аналогичные существуют.

v-m-k

v-m-k

Posted
Posted

А arpoison и самописный скрипт уже отменили... Я у ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё

anclbob

anclbob

Posted
  • Author
Posted
А arpoison и самописный скрипт уже отменили... Я у  ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё

 

ну вот! а поподробнее можно? Где взять как установить? на freebsd ставится?

xenomorph

xenomorph

Posted
Posted

anclbob,

молодой человек, причтайте всётаки man ipfw. там есть какая хитрая опция, any называется, ей можно блокировать транзитный трафик. А статическая арп таблица сформированя с ключевым словом pub не дас менять ip адреса, потому что при несоотвествии mac-ip будет вылезать красивая надпись о том что ip адрес уже занят.

 

P.S. http://opennet.ru -> поиск и вперёд на мины!!!!

 

P.S.S. И куда мир катится...

v-m-k

v-m-k

Posted
Posted

Повидимому человек хотел заблокировать всю сетку, фактически просто занять все IP в ней... Блокирование трафа на сервак и через сервак тут не поможет :

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.