[anclbob]

Подскажите как возможно заблокировать диапазон ip адресов 192.168.0.0-192.168.254.254

 

я сделал файл в 65 тыс строк

вот таких

ifconfig_fxp0_alias0"inet 192.168.0.0 netmask 255.255.255.255"

.....

ifconfig_fxp0_alias65434="inet 192.168.254.254 netmask 255.255.255.255"

 

примерно получилось 65 тыс строк. Всю эту хрень занёс в rc.conf , но фря загружалась минут наверное 20 , и не заблокировала весь диапазо, дошла только до 192 подсети.

 

Как решить такую проблему что бы нежелательные пользователи не могли попасть в сеть никак

[Vovik]

:)))))))))))))))))

 

используй ipfw (firewall)

[anclbob]

:)))))))))))))))))

 

используй ipfw (firewall)

 

так они не попадут только на сервак!

[SinClaus]

А куда они еще не должны попасть???? Запретить юзверям получать такие адреса? Да пусть их!

[Blackmore]

он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

[anclbob]

он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве

[SinClaus]

Тогда статическая ARP таблица, если нужна привязка IP к МАС :)

[jab]

anclbob - ставьте линукс, там все просто.

[GateKeeper]

Поставишь линукс и будешь долго париться (линукс не умеет published arp-entry, хотя, может от ядра и дистра зависит, пробовалось на slackware 10.1 и 10.2).

 

Пока всё правильно делал.

Составь файл формата:

ИП-адрес[пробел]МАК-адрес[пробел]pub

 

по 1 ИП на строку. МАК можешь взять левый для тех IP, что не должны в сети быть (например, fa:fa:fa:fa:fa:fa или ff:ff:ff:ff:ff:ff но последний вариант жестокий :) ). слово pub ключевое.

 

Далее в /etc/rc.local строчку:

/usr/sbin/arp -f /путь_к_файлу/имя_файла

 

Всё. Чтобы не перезагружать сервак просто выполни эту самую команду в консольке. Для упрощения можно затащить это в SQL-таблицу и админить оттуда а обновлять при помощи простенького скрипта на sh (diff, cut, patch, arp ...) по крону.

 

Ну а если совсем правильно - MAC_security на коммутаторе клиента, port down вообще самый верный вариант.

[Shiva]

проще арп переписать, что бы он отвечал на все запросы как будто это он.

[anclbob]

Тогда статическая ARP таблица, если нужна привязка IP к МАС :)

 

ну причём тут это !!! это просто блокирует доступ на сервак при смене ИП адреса. мне что бы в сеть зайти не могли!!!

[Vovik]

мне что бы в сеть зайти не могли!!!

 

по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D

[anclbob]

мне что бы в сеть зайти не могли!!!

 

по-моему я уже написал - firewall. ну, или на крайний случай - можешь просто шнур сетевой выдергивать, когда надо всех быстро заблокировать :D

 

что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак. А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

короче я так понял никто ничего не знает?

[balamutang]

короче я так понял никто ничего не знает?

конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать...

[anclbob]

короче я так понял никто ничего не знает?

конечно никто ничо не знает... один ты тут такой гений - по 65 тыщ строк в rc.conf прописывать...

 

да нет гений сдесь ТЫ! посмотри сколько сообщений подобного рода настрочил и ниодно по делу

[balamutang]

он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8?

[anclbob]

он еще сетку 10/8 забыл прописать .... алиасами, грустно мне ...

 

это не понадобится ! у нас макска 255.255.0.0

если кто то и сменит , то останется в гордом одиночестве....... А вытыкивать провода, прыгать покрышам, по тех этажам не хочется...

а если пользователи договоряццо и дружно сменят IP на 10.0.0.0/8?

 

нежелательные пользователи друг друга не знают! их процентов 15 в сети... вообщем ваш вопрос имеет только теоритическое основание

[Vovik]

что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак

 

ну ладно. в качестве чего работает сервер?

[anclbob]

что вы к этому фаерволу прикопались? сервер у меня не в качестве моста работает... фаервол не пустит непосредственно на сервак

 

ну ладно. в качестве чего работает сервер?

 

в качесте большой заподлянки для неоплативших пользователей блин! Вообщем система с 65 тыс. строк в rc.conf отлично заработала на более мощьном компутере...

всем спасибо!

[Motorband]

Ну если в качестве мега-подлянки, то есть вариант использовать программу умеющей справляться время от времени с arp-таблицей и в случае не соответствия ложную arp-табличку неплательщику подсовывать. На память приходит livearp. Еще другие аналогичные существуют.

[v-m-k]

А arpoison и самописный скрипт уже отменили... Я у ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё

[anclbob]

А arpoison и самописный скрипт уже отменили... Я у  ся в сетке IPPROTECT на нём сделал, все кто не зареген не могут получить IP даже когда руками ставят, грит занят :) И без всяких алиасов просто файльшивый arp пакет шлёт когда видит запрос на ff:ff:ff:ff:ff:ff :) Вот и сё

 

ну вот! а поподробнее можно? Где взять как установить? на freebsd ставится?

[v-m-k]

Взять тута http://arpoison.sourceforge.net/, установить, наверное можно там сорцы, токо libnet нужен , а дальше курить arpoison --help :)

[xenomorph]

anclbob,

молодой человек, причтайте всётаки man ipfw. там есть какая хитрая опция, any называется, ей можно блокировать транзитный трафик. А статическая арп таблица сформированя с ключевым словом pub не дас менять ip адреса, потому что при несоотвествии mac-ip будет вылезать красивая надпись о том что ip адрес уже занят.

 

P.S. http://opennet.ru -> поиск и вперёд на мины!!!!

 

P.S.S. И куда мир катится...

[v-m-k]

Повидимому человек хотел заблокировать всю сетку, фактически просто занять все IP в ней... Блокирование трафа на сервак и через сервак тут не поможет :