Vadi Опубликовано 31 июля, 2006 · Жалоба У нас маленькая сеть около 100 человек. Из них 19 нелегалов. Очень долго думали чтобы такого сделать, чтобы не обрезать кабели нелегалам, а заставить их заплатить за подключение и юзать инет. Спустя какое-то время, решение нашлось. Мы разработали специальную программу, которая работает под управлением FREEBSD. Эта программа позволяет нам делать следущие вещи: - следить за тем чтобы определенному МАК адресу в сети соответствовал определенный IP (то есть при смене IP адреса или подмене МАКа, пользователь как бы вылетает из сети, и выскакивает предупреждение, что данный IP адрес используется другим компьютером, то есть вызван конфликт. - блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетом. В нашем случае, если юзер не пользуется инетом больше месяца и находится в минусе, то он блокируется для работы в сети. Опять же, при включении компа, выдается конфликт айпишника и ни о какой работе в сети речи идти не может. Данная примочка по сути предоставляет возможности по блокировки тех неадекватов, которым нечем заняться и от отсутствия денег они либо ХАЦКАЮТ сеть, либо пытаются воровать интернет, либо просто не могут жить спокойно. Честно сказать, что после введения такой системы в нашей сетке, не все сразу ринулись оплачивать нелегальное подключение. Прошло полгода, вчера отдал деньги 18-й нелегал. Первые три месяца некоторые просто немоглт оддуплить что происходит, потом пошел слух, потом стали звонить в саппорт и интересоваться чо как, причем самым изощренным способом. Но в итоге, мы довольны, сетка работает стабильнее, меньше жалоб на конфликт айпишников, меньше лагов, и всегда, при ремонте сети знаешь что этот айпишник именно в том доме в той квартире, а не с другого конца района. короче вот такие пироги. Если кому интересно, можем помочь с такой фишкой. пишите в личку или на мыло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 31 июля, 2006 (изменено) · Жалоба мегаскрипт приписывания адресов себе самому? :-D а мегаскрипт прописывания себе чужих MAC+IP у вас в прейскуранте есть? =) Изменено 31 июля, 2006 пользователем vIv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 31 июля, 2006 · Жалоба Что только люди не придумают чтобы управляемых свитчей не покупать =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
puh Опубликовано 31 июля, 2006 · Жалоба кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 31 июля, 2006 · Жалоба кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью... это одно и тоже, просто очень навязчиво :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nallien Опубликовано 31 июля, 2006 · Жалоба хэх.... все это обходиться :( и не так уж сложно... хотя бы статическая АРП таблица... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барий Опубликовано 31 июля, 2006 · Жалоба Да кто спорит, конечно обходится. Ну обойдет это 1 обычный домовой юзер из 100... Больше геморроя, нежели адреналина. Остальные 99 просто будут вовремя платить деньги. Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь. Прописывание статической арп таблицы на одном конце может не помочь, есть еще другой конец, который тоже травится. Как временное решение имхо использовать можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 1 августа, 2006 · Жалоба можно, ога... стоимость такого мега-решения - около одного-двух долларов, - надо купить сисадмину две бутылки пива, пусть скриптик напишет и в крон засунет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korj Опубликовано 1 августа, 2006 · Жалоба vIv, Ну что вы! Не портите человеку малину! Барий только хотел, видимо, следующей мессагой написать "а кстати зачем вам на FreeBSD, купите у меня виндовую!" (не виртуал ли Vadi?), а Вы тут до 2 батлов пива цену сбили! :))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 1 августа, 2006 · Жалоба ааа!!... ещё и виндоооовую?... :> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teodor Опубликовано 1 августа, 2006 · Жалоба Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь. Ух ты, оказывается для "нормальной" смены MAC IP требуется то же супер-мега-софт с супер-мега-грамотной-функцианальностью... И его Барий то же может продать. Ну и вопрос Барию в догонку, как может юзер засветиться? он ведь не уран подменяет, а всего-лишь IP и MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барий Опубликовано 1 августа, 2006 · Жалоба Korj, нет, не виртуал я никакого vadi. А че тебя так напрягает-то l2nt? С чего бы это... Есть всем известный софт под юникс: ip-sentinel (linux), ipguard (freebsd), многие им пользуются, бесплатно. Но это под юникс. Кто сказал что подобные вещи под винду должны быть бесплатно? Ты если не хочешь - дак не покупай, я тебя не заставляю. teodor, грамотный не засветится, обычный попадется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 1 августа, 2006 · Жалоба GUARD не гарантирует 100% защиту сети от несанкционированного доступа, не претендует на отключение узлов, сходное с отключением кабеля от коммутатора и не дает 100% гарантии того, что в контролируемом сегменте никто не сможет сменить свои адреса. С другой стороны, такой гарантии не сможет дать никто, вне зависимости от используемого сетевого оборудования и, учитывая тот факт, что пользователи сети абсолютно не ограничены в правах. :-))))) Им ещё не рассказали про управляемые коммутаторы :-)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ISQman Опубликовано 8 августа, 2008 (изменено) · Жалоба Интересная фича, понимаю что не все траблы можно таким образом решить, но можно сюда чуть подробнее? например на чём основана, какие протоколы используете, и какие связки? Изменено 8 августа, 2008 пользователем ISQman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Baikal Опубликовано 10 августа, 2008 · Жалоба ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны? 19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети? Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
l-servise2 Опубликовано 10 августа, 2008 (изменено) · Жалоба ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны? 19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети? Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить. Это с одной стороны, а с другой - вот у него там коммутаторов штук 50 и че каждый день обход делать, мол подключился кто к порту... Да я понимаю, управляемые коммутаторы рулят, но не у всех на них денег хватает! Вот собираемся сеть в частной зоне тянуть, так я лучше вместо управляемых простые, а на разницу кабель покачественнее возьму, а в дальнейшем может и управляемые воткнем, если смысл будет! Изменено 10 августа, 2008 пользователем l-servise2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 10 августа, 2008 (изменено) · Жалоба некоторые просто немоглт оддуплить что происходитРедко тут такую лексику встретишь. На hub.ru в самый раз бы. потом стали звонить в саппортИнженера высшей категории требовать? Мы разработали специальную программу, которая работает под управлением FREEBSD.Ipguard в портах не видели судя по всему. Ну теперь будете знать. блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетомА зачем вообще дифференцировать их? Идите вон сортиры мойте бесплатно. Вы же талантливый человек. Взял тряпку - помыл сортир. Бесплатная услуга. Увидел заср$ный толчок - взял деньги за отмывку дер$ма с него. Аналог вашей работы сейчас. Есть над чем задуматься. Изменено 10 августа, 2008 пользователем disappointed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ruslan_R Опубликовано 10 августа, 2008 · Жалоба За два прошедших года, наверное, многое изменилось :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 10 августа, 2008 · Жалоба Чёрт..... был не в настроении. не заметил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 10 августа, 2008 · Жалоба "Извините. Был напуган"(с)Анекдот Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fAnt1ksx Опубликовано 11 августа, 2008 · Жалоба Вот когда дело дойдет до трояна с арп-спуффингом, тогда ваш супер скрипт с алиасами на сетевку уже не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
l-servise2 Опубликовано 11 августа, 2008 · Жалоба За два прошедших года, наверное, многое изменилось :) И правда, я тоже не заметил :) И где ее только откопали)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ISQman Опубликовано 21 августа, 2008 · Жалоба За два прошедших года, наверное, многое изменилось :)И правда, я тоже не заметил :) И где ее только откопали)) ы) я сам не заметил))))вот столкнулся с подобной херью (не только нелегалы) вот и решил отписать, а раз предложили прогу)))) почему б и нет... сейчас сам пишу програмульку, правда на перле, мож чтонить и получится (хотя бы элементарную защиту от школьников можно сделать), а так просто нужна моральная поддержка и помощь в ответах на глупые вопросы по перлу)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 21 августа, 2008 · Жалоба Теперь самое время пойти в схемы, там показано как за 10 бакинских рублей можно сделать из коммутатора за 20 управляемый. Я думаю ребяткам в тему будет. А за 2 года наверное сеть развалилась? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackDeath Опубликовано 21 августа, 2008 · Жалоба Так сказать: "проходя мимо" :) Поскольку у нас роутингом локалки занимается Huawei а не софт-роутер, то соответственно трабла со сменой ip не решалась установкой ipguard :( Вопсчем написал софтину - которая по snmp v3 опрашивает Huawei и собирает с него arp таблицу, сравнивает текущую с сохраненной ранее таблицей в MySQL и делает следующее: 1. Если из пары ip-mac ни ip ни mac еще не встречались в других парах - то естественно длбавляет эту пару как новую запись в мускул. 2. Если mac из пары ip-mac уже был замечен в связке с другим ip - то скидывает эту запись в отдельную таблицу мускула (завется diff), и добавляется событие о захвате mac-ом чужого ip. 3. Если ip из пары уже был замечен в другой связке - тупо не реагирует (сначала реагировала, однако как показала практика это событие и нафиг не надо :) ) 4. Если mac из пары находился в таблице "diff" и теперь появился в связке со своим "основным" ip - то он убирается из diff и добавляется событие о возврате macа на родной ip. 5. Если имеется более 5 записей mac-ip с одинаковым mac-ом - считаем это трояном с arp-spoofing и заносим его в таблицу вирусников паралельно запуская pl скрипт с передачей ему mac-a вирусника, скрипт в свою очередь идет по telnet на huawei и добавляет запись в acl вирусников, который навешивает на все интерфейсы. Кроме того по возникновению данного события отсылается e-mail админу с mac-ом вирусника. Также есть таблица в которой хранятся пары ip-mac, смены между которыми надо просто игнорировать (вариант когда 2ip на одном интерфейсе висят алиасом). Ко всему этому добру есть веб-морда в которой ясно видны все съезды/переезды ip по mac-ам и вирусники с возможностью их разблокировки. Откомпилено это все на FreeBSD, впринципе использовался чистый си + net-snmp библиотеки - поидеи должна компилиться на любой *nix платформе. Поскольку для опроса arp таблицы используются стандартные snmp mib - то теоретически способна работать с любой железякой поддержующей эти самые mib.... И скрипт блокировки/разблокировки вирусников также можно переписать для работы с любой железкой. Еще раз повторюсь - что это решение было сделано для работы с аппаратным роутером ибо для софтварного итак есть прекрасные проги :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...