Jump to content

привязка ip к mac'у

ravenrrr
 Share

Recommended Posts

ravenrrr

ravenrrr

Posted
Posted

Доброго вам времени суток!

есть такая задача:

есть 2 сети

 

1) 10.10.0.0/24 - физ. лица;

2) 10.20.0.0/24 - юр. лица;

 

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

Если что то из инфы необходимо добавить, ткните меня пожалуйста...

 

Заранее благодарю!

LostSoul

LostSoul

Posted
Posted

Читать тут

http://forum.nag.ru/forum/index.php?showtopic=37976

 

Пригодно для клиентов под виндой.

Остается дыра -- когда один добропорядочный держит компьютер включенным, другой злонамеренный может поставить его MAC/IP и чего-то там покачать.

Но это крайней геморойно для хакера, заметно для пользователя и в целом такой дырой можно принебречь.

В наши дни не так уж тяжело достаётся халявный интернет, чтобы ТАК извращатся.

LostSoul

LostSoul

Posted
Posted
а как насчет такого правила?

 

-A FORWARD -d ip_kompa -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

 

есть ли право на жизнь у такого правила?

MAC работает только на входящие пакеты.

И MAC можно заменить.

Смотрите ссылку, что я вам дал.

ravenrrr

ravenrrr

Posted
  • Author
Posted
В области оповещений около значка сетевой карты появляется приглашение ввести логин-пароль.

 

Вводим логин-пароль ( как при WiFi-сети ) и роутер открывает Internet для нашего MAC.

 

 

Отрубаем комп более чем на 30 секунд -- и наш MAC протухает на роутере, доступ закрывается.

 

Красота... один минус -- можно на дублированном маке сидеть.

 

Жуть как не люблю VPN-ы всякие.

что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет.

локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое...

нельзя допускать никаких дублированных маков.

и VPN-ы обязательно должны быть!

LostSoul

LostSoul

Posted
Posted
что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет.

локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое...

нельзя допускать никаких дублированных маков.

и VPN-ы обязательно должны быть!

До только компьютер клиента шлёт свой первый dhcp-запрос , ему в грубой форме приходит обратно требование подтвердить свои полномочия доступа к порту ( на ethernet уровне ).

Типа "ИДПС Петров, предьявите документы".

В случае положительного решения вопроса -- приходит dhcp-ответ в зависимости от того кто авторизовался на среде с этого MAC.

Компьютер может быть настроен и статически.

 

Если вы ставите вопрос так что "никаких дублированных маков" , вас может спасти ТОЛЬКО минимум L2 фильтрация на каждом порту коммутатора уровня доступа.

Kirill Frolov

Kirill Frolov

Posted
Posted
стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

1. man arptables

2. man arp

3. это всё безмерная дурость и ни от чего не помогает, зато клиенты за свой гемморой тебе обеспечат свой...

disappointed

disappointed

Posted
Posted

ip-sentinel под линух или ipguard под фрю.

Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак.

Но от подстановки пары соседа конечно не защитит.

ravenrrr

ravenrrr

Posted
  • Author
Posted
ip-sentinel под линух или ipguard под фрю.

Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак.

Но от подстановки пары соседа конечно не защитит.

а теперь пожалуйста подскажи где ее можно достать бесплатно?

Alteron

Alteron

Posted
Posted

Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант.

ravenrrr

ravenrrr

Posted
  • Author
Posted

Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант.

мне под сусе 10.2! если можно пожалуйста...

ravenrrr

ravenrrr

Posted
  • Author
Posted

не судите строго, я новичок в деле построения больших сетей (городского масштаба). Буду ооочень признателен за любую помощь.

 

а в целом и общем стоит вот такая вот задача:

 

Дано:

1.Серверы.

1.1. Билинг.

1.2. Шлюз интернета. - 10.0.0.1

1.3. Фаервол.

1.4. Прокси-сервер.

1.5. Впн-сервер1. - 10.10.0.0 - home

1.6. Впн-сервер2. - 10.20.0.0 - corporative

2. Все клиенты условно приходят через любые средства связи в один коммутационный свич в офис.

3. Все клиенты делятся на группы, которые имеют доступ только к некоторым серверам:

3.1 Группа DialUP должна видеть только шлюз интернета.

3.2 Группа домашних пользователей должна видеть впн-сервер1 + шлюз интернета.

3.3. Группа юр.лиц должна видеть впн-сервер2 + шлюз интернета.

4. Клиенты не должны видеть друг друга сервер форвардинг на фаерволе.

5. Все правила в iptables необходимо строить с учетом политики по умолчанию - drop

 

Задача:

1. Построить схему ядра и прохождения потоков.

2. Написать правила маршрутизации всех клиентов.

3. Подготовить списки айпи-адресов для всех серверов и групп клиентов.

ravenrrr

ravenrrr

Posted
  • Author
Posted
а в чем проблема? в ОС, ПО, Железе?
стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

YuryD

YuryD

Posted
Posted
Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся

Большой ему Респект ! Но если можно - передайте ему что рестарт скриптом на rl работает так себе, надо sleep ставить. И не собрать под 4.5 - 4.7 а жаль :(

martin74

martin74

Posted
Posted

а в чем проблема? в ОС, ПО, Железе?

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту.

 

Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь...

У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;)

user_anonymous

user_anonymous

Posted
Posted

а в чем проблема? в ОС, ПО, Железе?

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту.

 

Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь...

У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;)

arping <ip соседа> - получаем его МАК

 

... Ждем, когда сосед отключится

 

ifconfig со сменой МАКа и IP на соседский

... Качаем нахаляву

 

... и заметаем следы

ifconfig сосменой МАКа и IP на свой

 

1. Мораль такой - сети на неуправляемом оборудовании - большое Г

2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP)

LostSoul

LostSoul

Posted
Posted
1. Мораль такой - сети на неуправляемом оборудовании - большое Г

2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP)

Мораль такой -- если нету денег на управляемое железо, идем и внедряем вот такое решение.

 

http://forum.nag.ru/forum/index.php?showtopic=37976

martin74

martin74

Posted
Posted

а кто вам сказал, что pptp не используется???? Доступ в инет - ессно pptp. И фиксация ип\мак позволяет в локалке поддерживать более менее порядок...

По статистике умников, умеющих мак адреса на картах - менее 0.05% ;)

А 802.1х авторизацию я посмотрел... Неинтересно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.