Перейти к содержимому
Калькуляторы

Соответствие IP/mac в неуправляемой сети

У нас маленькая сеть около 100 человек. Из них 19 нелегалов. Очень долго думали чтобы такого сделать, чтобы не обрезать кабели нелегалам, а заставить их заплатить за подключение и юзать инет.

Спустя какое-то время, решение нашлось.

Мы разработали специальную программу, которая работает под управлением FREEBSD. Эта программа позволяет нам делать следущие вещи:

- следить за тем чтобы определенному МАК адресу в сети соответствовал определенный IP (то есть при смене IP адреса или подмене МАКа, пользователь как бы вылетает из сети, и выскакивает предупреждение, что данный IP адрес используется другим компьютером, то есть вызван конфликт.

- блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетом. В нашем случае, если юзер не пользуется инетом больше месяца и находится в минусе, то он блокируется для работы в сети. Опять же, при включении компа, выдается конфликт айпишника и ни о какой работе в сети речи идти не может.

 

Данная примочка по сути предоставляет возможности по блокировки тех неадекватов, которым нечем заняться и от отсутствия денег они либо ХАЦКАЮТ сеть, либо пытаются воровать интернет, либо просто не могут жить спокойно.

 

Честно сказать, что после введения такой системы в нашей сетке, не все сразу ринулись оплачивать нелегальное подключение. Прошло полгода, вчера отдал деньги 18-й нелегал. Первые три месяца некоторые просто немоглт оддуплить что происходит, потом пошел слух, потом стали звонить в саппорт и интересоваться чо как, причем самым изощренным способом. Но в итоге, мы довольны, сетка работает стабильнее, меньше жалоб на конфликт айпишников, меньше лагов, и всегда, при ремонте сети знаешь что этот айпишник именно в том доме в той квартире, а не с другого конца района.

 

короче вот такие пироги.

Если кому интересно, можем помочь с такой фишкой.

пишите в личку или на мыло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мегаскрипт приписывания адресов себе самому? :-D

 

а мегаскрипт прописывания себе чужих MAC+IP у вас в прейскуранте есть? =)

Изменено пользователем vIv

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что только люди не придумают чтобы управляемых свитчей не покупать =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью...

это одно и тоже, просто очень навязчиво :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хэх.... все это обходиться :( и не так уж сложно... хотя бы статическая АРП таблица...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да кто спорит, конечно обходится. Ну обойдет это 1 обычный домовой юзер из 100... Больше геморроя, нежели адреналина. Остальные 99 просто будут вовремя платить деньги.

Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь. Прописывание статической арп таблицы на одном конце может не помочь, есть еще другой конец, который тоже травится.

Как временное решение имхо использовать можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно, ога... стоимость такого мега-решения - около одного-двух долларов, - надо купить сисадмину две бутылки пива, пусть скриптик напишет и в крон засунет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
vIv, Ну что вы! Не портите человеку малину! Барий только хотел, видимо, следующей мессагой написать "а кстати зачем вам на FreeBSD, купите у меня виндовую!" (не виртуал ли Vadi?), а Вы тут до 2 батлов пива цену сбили! :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ааа!!... ещё и виндоооовую?... :>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь.

Ух ты, оказывается для "нормальной" смены MAC IP требуется то же супер-мега-софт с супер-мега-грамотной-функцианальностью... И его Барий то же может продать.

Ну и вопрос Барию в догонку, как может юзер засветиться? он ведь не уран подменяет, а всего-лишь IP и MAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Korj, нет, не виртуал я никакого vadi.

А че тебя так напрягает-то l2nt? С чего бы это...

 

Есть всем известный софт под юникс: ip-sentinel (linux), ipguard (freebsd), многие им пользуются, бесплатно. Но это под юникс. Кто сказал что подобные вещи под винду должны быть бесплатно? Ты если не хочешь - дак не покупай, я тебя не заставляю.

 

teodor, грамотный не засветится, обычный попадется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
GUARD не гарантирует 100% защиту сети от несанкционированного доступа, не претендует на отключение узлов, сходное с отключением кабеля от коммутатора и не дает 100% гарантии того, что в контролируемом сегменте никто не сможет сменить свои адреса. С другой стороны, такой гарантии не сможет дать никто, вне зависимости от используемого сетевого оборудования и, учитывая тот факт, что пользователи сети абсолютно не ограничены в правах.

:-)))))

 

Им ещё не рассказали про управляемые коммутаторы :-))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная фича, понимаю что не все траблы можно таким образом решить, но можно сюда чуть подробнее? например на чём основана, какие протоколы используете, и какие связки?

Изменено пользователем ISQman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны?

19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети?

Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны?

19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети?

Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить.

Это с одной стороны, а с другой - вот у него там коммутаторов штук 50 и че каждый день обход делать, мол подключился кто к порту...

 

Да я понимаю, управляемые коммутаторы рулят, но не у всех на них денег хватает! Вот собираемся сеть в частной зоне тянуть, так я лучше вместо управляемых простые, а на разницу кабель покачественнее возьму, а в дальнейшем может и управляемые воткнем, если смысл будет!

Изменено пользователем l-servise2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
некоторые просто немоглт оддуплить что происходит
Редко тут такую лексику встретишь. На hub.ru в самый раз бы.

 

потом стали звонить в саппорт
Инженера высшей категории требовать?

 

Мы разработали специальную программу, которая работает под управлением FREEBSD.
Ipguard в портах не видели судя по всему. Ну теперь будете знать.

 

блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетом
А зачем вообще дифференцировать их? Идите вон сортиры мойте бесплатно. Вы же талантливый человек. Взял тряпку - помыл сортир. Бесплатная услуга. Увидел заср$ный толчок - взял деньги за отмывку дер$ма с него. Аналог вашей работы сейчас.

 

Есть над чем задуматься.

Изменено пользователем disappointed

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За два прошедших года, наверное, многое изменилось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот когда дело дойдет до трояна с арп-спуффингом, тогда ваш супер скрипт с алиасами на сетевку уже не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За два прошедших года, наверное, многое изменилось :)

И правда, я тоже не заметил :) И где ее только откопали))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
За два прошедших года, наверное, многое изменилось :)
И правда, я тоже не заметил :) И где ее только откопали))

ы) я сам не заметил))))

вот столкнулся с подобной херью (не только нелегалы) вот и решил отписать, а раз предложили прогу)))) почему б и нет...

сейчас сам пишу програмульку, правда на перле, мож чтонить и получится (хотя бы элементарную защиту от школьников можно сделать), а так просто нужна моральная поддержка и помощь в ответах на глупые вопросы по перлу))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь самое время пойти в схемы, там показано как за 10 бакинских рублей можно сделать из коммутатора за 20 управляемый. Я думаю ребяткам в тему будет. А за 2 года наверное сеть развалилась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так сказать: "проходя мимо" :)

 

Поскольку у нас роутингом локалки занимается Huawei а не софт-роутер, то соответственно трабла со сменой ip не решалась установкой ipguard :(

Вопсчем написал софтину - которая по snmp v3 опрашивает Huawei и собирает с него arp таблицу, сравнивает текущую с сохраненной ранее таблицей в MySQL и делает следующее:

1. Если из пары ip-mac ни ip ни mac еще не встречались в других парах - то естественно длбавляет эту пару как новую запись в мускул.

2. Если mac из пары ip-mac уже был замечен в связке с другим ip - то скидывает эту запись в отдельную таблицу мускула (завется diff), и добавляется событие о захвате mac-ом чужого ip.

3. Если ip из пары уже был замечен в другой связке - тупо не реагирует (сначала реагировала, однако как показала практика это событие и нафиг не надо :) )

4. Если mac из пары находился в таблице "diff" и теперь появился в связке со своим "основным" ip - то он убирается из diff и добавляется событие о возврате macа на родной ip.

5. Если имеется более 5 записей mac-ip с одинаковым mac-ом - считаем это трояном с arp-spoofing и заносим его в таблицу вирусников паралельно запуская pl скрипт с передачей ему mac-a вирусника, скрипт в свою очередь идет по telnet на huawei и добавляет запись в acl вирусников, который навешивает на все интерфейсы. Кроме того по возникновению данного события отсылается e-mail админу с mac-ом вирусника.

 

Также есть таблица в которой хранятся пары ip-mac, смены между которыми надо просто игнорировать (вариант когда 2ip на одном интерфейсе висят алиасом).

 

Ко всему этому добру есть веб-морда в которой ясно видны все съезды/переезды ip по mac-ам и вирусники с возможностью их разблокировки.

Откомпилено это все на FreeBSD, впринципе использовался чистый си + net-snmp библиотеки - поидеи должна компилиться на любой *nix платформе. Поскольку для опроса arp таблицы используются стандартные snmp mib - то теоретически способна работать с любой железякой поддержующей эти самые mib.... И скрипт блокировки/разблокировки вирусников также можно переписать для работы с любой железкой.

 

Еще раз повторюсь - что это решение было сделано для работы с аппаратным роутером ибо для софтварного итак есть прекрасные проги :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас