Изолирование клиентов

[nookie_kb]

Доброе время суток. У меня вопрос :

Можно ли програмно изолировать (подобно умным свичам) клиентов друг от друга. Чтоб не тырили друг у друга разные файлы и не делали всяние гадости.

IP адреса будут реальные, поетому на каждого клиента подсеть не экономно. Если все в одной подсети то нетрудно написать WorkGrup и искать народ без паролей.

[puh]

ну не получится из бяки конфетка, не получится!!!! (с) не мой

 

если стоит тупой свич, ничего не поможет...

[lamer]

если стоит тупой свич, ничего не поможет...

А если поюзать поиск по форуму? ;)

[Roman Ivanov]

если стоит тупой свич, ничего не поможет...

А если поюзать поиск по форуму? ;)

 

То все равно, НИЧЕГО не поможет.

[desperado]

в поиске скорее всего найдется пару извратов-полумер... явно не стоящих внимания с практической точки зрения (ИМХО).

[Солнечный КОТ]

А не проще ли начать внедрять потихоньку нормальные нетупые свитчики? Хотя бы посегментно?

[maximka60]

а скока такой стоит? (примерно)

по типу:

-марка

-цена

-возможности

[nookie_kb]

Да я вроде поиск юзал и гооглю тож.

Один рас пробывал извратиться и с DHCP заздал всем IP с субнетом 255.255.255.255 (типа /32) вроде сработало но я юумаю ето "неочень правельно" =)

 

А как насчёт маленьких тупых свичей с арлинком, может помогут??

[Yarik_buharik]

Можно поинтересоваться, а про какие "умные свичи" которые могут решать поставленные проблемы ведется речь? Можно узнать конкретные модели и наименования и каким образом с помощью них можно изолировать клиентов друг от друга при общей видимости сервера?

[puh]

про свичи с функцией Private VLAN (у разных вендоров название фичи может несколько меняться). В таком свиче трафик может ходить только между клиентскими потами и аплинком. Между парой клиентских портов - не может.

[SProtsak]

Можно поинтересоваться, а про какие "умные свичи" которые могут решать поставленные проблемы ведется речь? Можно узнать конкретные модели и наименования и каким образом с помощью них можно изолировать клиентов друг от друга при общей видимости сервера?

Смотри те, которые VLANы держат. Моделей, хоть попой жуй, од ГЛинка да сиськи.

[Alferov]

Если совсем с деньгами туго, либо жаба душит, то берите тупые 5/8 - портовые длинки и переделывайте. Благо и на форуме было про это не раз. А если поиск не помог или руки не оттуда, то в блинке за какие то деньги сами переделают вам их.

[Барий]

2nookie_kb:

 

Не совсем понятно каким образом предоставляется доступ в интернет (PPPoE, PPTP или просто шлюз у клиентов прописан)?

 

А по большому счету есть два нормальных (имеется ввиду бюджетных)варианта:

1 - как уже говорили, взять длинки и переделать

2 - программное решение, но не хватает исходных данных.

 

И пусть как бы не обсирали программные решения для подобных вещей на этом форуме, они есть и работают, и довольно успешно, и как временное решение их использовать можно.

[puh]

Барий, ню ню...

[Барий]

puh, хм... я что-то не то сказал?

 

Предложите решение дешевле... Дешевле, допустим, первого варианта.

[puh]

Барий, нет смысла сравнивать стоимость рабочего и нерабочего (в вашем случае) решения.

[nookie_kb]

Барий, простой Ethernet, тунели это для меня тёмный лес =)

Стоит сервер на FreeBSD 6.0, на нём шейпер, роутер, нат и все дела. Тамже вертитсья DHCP и всем раздаёт адереса.

 

По д-линки я слышел, в ближайшее время попробую ламануть )

А вот реально ли ето зделать програмно? Есль да то как, какой ман читать? )

 

puh, подскажите тогда какой небудь "рабочий" вариант (кроме сисек )).

[Shiva]

Барий,

Предложите решение дешевле... Дешевле, допустим, первого варианта.

Могу предложить дешевле второго варианта :)

[Барий]

puh, коли речь зашла о моем, нет, не будем конкретно, а о подобных программных решениях (ipguard, ipsentinel и других самописных перловых скриптах под никсы), то объясните тогда, почему же они неработоспособны?

 

Да, обойти можно, под юниксом проще, под виндой гораздо сложнее, т.к. арп протокол там отключить нельзя. Даже если прописать статическую арп таблицу, то работать будет, но до поры до времени... В реализации АРП много тонкостей, и больше чем уверен, что большинство администраторов (не то что конечных юзеров) досконально этот вопрос не изучали. Теорию знают все, но на практике все гораздо сложнее. Грамотный ARP spoofing, одному отдельно взятому узлу, пусть и со статической ARP таблицей обойти довольно сложно, все зависит от поставленных задач.

 

nookie_kb:

Могу предложить такие варианты:

1) PPTP + ipguard в том случае, если нужно блокировать юзера полностью

2) PPPoE + ipguard - если нужно блокировать юзера от локалки, но доступ в интернет надо оставить.

Вот тебе программные решения. 100% гарантию они не дадут, но и не надо тратить десятки баксов или сидеть с паяльником в руках.

[puh]

потому! что! невозможно! администратору! сети! контролировать! трафик! между! абонентами! всё!!!!!!!

 

сколько раз это повторять!!!!!!!!!!!!!

 

arp протокол нельзя запретить, но можно зафильтровать трафик, который генерят любимые вами программы.

[Барий]

потому! что! невозможно! администратору! сети! контролировать! трафик! между! абонентами! всё!!!!!!!

сколько раз это повторять!!!!!!!!!!!!!

Ну зачем же так кричать-то? :-)

 

Исходная задача автора темы заключается не в контроле трафика между абонентами, а в его запрете.

 

Вот последствия подобного программного запрета:

C:Documents and SettingsUser>ipconfig /all



Настройка протокола IP для Windows



       Имя компьютера  . . . . . . . . . : laptop

       Основной DNS-суффикс  . . . . . . :

       Тип узла. . . . . . . . . . . . . : неизвестный

       IP-маршрутизация включена . . . . : нет

       WINS-прокси включен . . . . . . . : нет



Homenet - Ethernet адаптер:



       DNS-суффикс этого подключения . . : 

       Описание  . . . . . . . . . . . . : SiS 900-Based PCI Fast Ethernet Adapter

       Физический адрес. . . . . . . . . : 00-11-2F-12-F3-8E

       Dhcp включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 0.0.0.0

       Маска подсети . . . . . . . . . . : 0.0.0.0

       Основной шлюз . . . . . . . . . . :



C:Documents and SettingsUser> route print

===========================================================================

Список интерфейсов

0x1 ........................... MS TCP Loopback interface

0x10004 ...00 11 2f 12 F3 8E ...... SiS 900-Based PCI Fast Ethernet Adapter

===========================================================================

===========================================================================

Активные маршруты:

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

       127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1

 255.255.255.255  255.255.255.255  255.255.255.255           10004       1

===========================================================================

Постоянные маршруты:

 Отсутствует

Интерфейс есть, но TCP стек в полном дауне, как следствие - и все остальное на L3, да и L3 вцелом. Никакие телодвижения со статическими arp-записями не помогут.

 

Ставлю бакс на то, что 99% обычных юзеров, которые сидят в пионернетах, вообще не смогут выйти из данной ситуации, а те, кто что-то попытаются предпринять - 100% нормально работать не смогут.

 

arp протокол нельзя запретить, но можно зафильтровать трафик, который генерят любимые вами программы.

Приведите пример программного продукта который фильтрует на L2 или L2-L3. Так же интересна его стоимость и ответ на вопрос, а будет ли он работать если TCP стек находится в дауне и вообще, загрузится ли этот "фильтр" без нормальной инициализации стека.

 

Так же следует учесть, что любые логические соединения есть "точка-точка" или "точка - много точек". На всех остальных "точках" меры для блокирования нелегитимной точки тоже применяются, поэтому одного такого "фильтра" будет мало.

 

Вообще спорить и расуждать можно долго, я одного не пойму, почему при возможности "выжать" из сетей с неуправляемым оборудованием "еще чуть-чуть", используя программные решения, пусть и не на 100% гарантирующие результ, к этому так предвзято относятся... В некоторых случаях этого будет более чем достаточно.

[puh]

потому что

а) это незаконно. это атака на компьютеры пользователей.

б) это защита "от дурака".

в) управляемые свичи уже дёшевы.

 

из-за а) это категорически неприемлемо в легальных сетях. А пионереты нужно уничтожить как класс. Из-за в) я не понимаю, на кой оно вообще нужно.

 

и вообще, я не противник "программных" запретов, я противник неуправляемых свичей...

[Барий]

... Знаю провайдеров (не из подворотни), использующие подобные вещи, и такая защита "от дурака" там работает с успехом.

 

Вопрос законно это или нет... тоже спорный. ООО "Суперпионернет" использует данное ПО для обнаружения и блокирования несанкционированного подключения итд итп. Спрашивается законно используют такое "противоядие" или нет?

 

Ну а пионернеты... это как грибы после дождя или как синдикаты в подворотнях. Они были, есть и будут, их уничтожать не надо, их надо прибирать к хорошим рукам.

 

Управляемое оборудование оно и есть управляемое, чего там говорить, но оно пока дорого, если конечно это не поделка а-ля "Спектрум" за 60$.

[kapa]

puh, коли речь зашла о моем, нет, не будем

nookie_kb:

Могу предложить такие варианты:

1) PPTP + ipguard в том случае, если нужно блокировать юзера полностью

2) PPPoE + ipguard - если нужно блокировать юзера от локалки, но доступ в интернет надо оставить.

Вот тебе программные решения. 100% гарантию они не дадут, но и не надо тратить десятки баксов или сидеть с паяльником в руках.

не уверен на счёт "рабочести" вариантов

у нас ipguard ну никак не хочет работать при большом количестве записей на интерфейс и 5-6 интерфейсах. 100, может 200 пар вытягивает, а потом дохнет

[Reanimator++]

я прастой тупой юзер, этот гад админ нидает мне играть в квейк с саседом.

- так пусть он тоже не сможет (злорадно посмеиваясь делаю петельку).

 

падает весь пионернет хоть с изолированными портами, хоть с обычными...