anclbob Опубликовано 28 марта, 2006 · Жалоба Подскажите как возможно заблокировать диапазон ip адресов 192.168.0.0-192.168.254.254 я сделал файл в 65 тыс строк вот таких ifconfig_fxp0_alias0"inet 192.168.0.0 netmask 255.255.255.255" ..... ifconfig_fxp0_alias65434="inet 192.168.254.254 netmask 255.255.255.255" примерно получилось 65 тыс строк. Всю эту хрень занёс в rc.conf , но фря загружалась минут наверное 20 , и не заблокировала весь диапазо, дошла только до 192 подсети. Как решить такую проблему что бы нежелательные пользователи не могли попасть в сеть никак Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vovik Опубликовано 29 марта, 2006 · Жалоба :))))))))))))))))) используй ipfw (firewall) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба :))))))))))))))))) используй ipfw (firewall) так они не попадут только на сервак! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SinClaus Опубликовано 29 марта, 2006 · Жалоба А куда они еще не должны попасть???? Запретить юзверям получать такие адреса? Да пусть их! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackmore Опубликовано 29 марта, 2006 · Жалоба он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ... это не понадобится ! у нас макска 255.255.0.0 если кто то и сменит , то останется в гордом одиночестве Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SinClaus Опубликовано 29 марта, 2006 · Жалоба Тогда статическая ARP таблица, если нужна привязка IP к МАС :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 29 марта, 2006 · Жалоба anclbob - ставьте линукс, там все просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 29 марта, 2006 · Жалоба Поставишь линукс и будешь долго париться (линукс не умеет published arp-entry, хотя, может от ядра и дистра зависит, пробовалось на slackware 10.1 и 10.2). Пока всё правильно делал. Составь файл формата: ИП-адрес[пробел]МАК-адрес[пробел]pub по 1 ИП на строку. МАК можешь взять левый для тех IP, что не должны в сети быть (например, fa:fa:fa:fa:fa:fa или ff:ff:ff:ff:ff:ff но последний вариант жестокий :) ). слово pub ключевое. Далее в /etc/rc.local строчку: /usr/sbin/arp -f /путь_к_файлу/имя_файла Всё. Чтобы не перезагружать сервак просто выполни эту самую команду в консольке. Для упрощения можно затащить это в SQL-таблицу и админить оттуда а обновлять при помощи простенького скрипта на sh (diff, cut, patch, arp ...) по крону. Ну а если совсем правильно - MAC_security на коммутаторе клиента, port down вообще самый верный вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 29 марта, 2006 · Жалоба проще арп переписать, что бы он отвечал на все запросы как будто это он. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба Тогда статическая ARP таблица, если нужна привязка IP к МАС :) ну причём тут это !!! это просто блокирует доступ на сервак при смене ИП адреса. мне что бы в сеть зайти не могли!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vovik Опубликовано 29 марта, 2006 · Жалоба мне что бы в сеть зайти не могли!!! по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба мне что бы в сеть зайти не могли!!! по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак. А вытыкивать провода, прыгать покрышам, по тех этажам не хочется... короче я так понял никто ничего не знает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 29 марта, 2006 · Жалоба короче я так понял никто ничего не знает? конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба короче я так понял никто ничего не знает?конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать... да нет гений сдесь ТЫ! посмотри сколько сообщений подобного рода настрочил и ниодно по делу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 29 марта, 2006 · Жалоба он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ... это не понадобится ! у нас макска 255.255.0.0 если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется... а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 марта, 2006 · Жалоба он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ... это не понадобится ! у нас макска 255.255.0.0 если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется... а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8? нежелательные пользователи друг друга не знают! их процентов 15 в сети... вообщем ваш вопрос имеет только теоритическое основание Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vovik Опубликовано 30 марта, 2006 · Жалоба что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак ну ладно. в качестве чего работает сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 30 марта, 2006 · Жалоба что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак ну ладно. в качестве чего работает сервер? в качесте большой заподлянки для неоплативших пользователей блин! Вообщем система с 65 тыс. строк в rc.conf отлично заработала на более мощьном компутере... всем спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Motorband Опубликовано 30 марта, 2006 · Жалоба Ну если в качестве мега-подлянки, то есть вариант использовать программу умеющей справляться время от времени с arp-таблицей и в случае не соответствия ложную arp-табличку неплательщику подсовывать. На память приходит livearp. Еще другие аналогичные существуют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v-m-k Опубликовано 31 марта, 2006 · Жалоба А arpoison и самописный скрипт уже отменили... Я у ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 31 марта, 2006 · Жалоба А arpoison и самописный скрипт уже отменили... Я у ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё ну вот! а поподробнее можно? Где взять как установить? на freebsd ставится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v-m-k Опубликовано 1 апреля, 2006 · Жалоба Взять тута http://arpoison.sourceforge.net/, установить, наверное можно там сорцы, токо libnet нужен , а дальше курить arpoison --help :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xenomorph Опубликовано 1 апреля, 2006 · Жалоба anclbob, молодой человек, причтайте всётаки man ipfw. там есть какая хитрая опция, any называется, ей можно блокировать транзитный трафик. А статическая арп таблица сформированя с ключевым словом pub не дас менять ip адреса, потому что при несоотвествии mac-ip будет вылезать красивая надпись о том что ip адрес уже занят. P.S. http://opennet.ru -> поиск и вперёд на мины!!!! P.S.S. И куда мир катится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v-m-k Опубликовано 1 апреля, 2006 · Жалоба Повидимому человек хотел заблокировать всю сетку, фактически просто занять все IP в ней... Блокирование трафа на сервак и через сервак тут не поможет : Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...