[ravenrrr]

Доброго вам времени суток!

есть такая задача:

есть 2 сети

 

1) 10.10.0.0/24 - физ. лица;

2) 10.20.0.0/24 - юр. лица;

 

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

Если что то из инфы необходимо добавить, ткните меня пожалуйста...

 

Заранее благодарю!

[user_anonymous]

Если в сети неуправляемое оборудование, то никакая кресная сила не сможет удержать узверя от смены у себя МАК-а.

[martin74]

сможет. Если зафиксировать хотя бы на роутере таблицу маков.

Правда это не удержит от смены мака на мак соседа...

[LostSoul]

Читать тут

http://forum.nag.ru/forum/index.php?showtopic=37976

 

Пригодно для клиентов под виндой.

Остается дыра -- когда один добропорядочный держит компьютер включенным, другой злонамеренный может поставить его MAC/IP и чего-то там покачать.

Но это крайней геморойно для хакера, заметно для пользователя и в целом такой дырой можно принебречь.

В наши дни не так уж тяжело достаётся халявный интернет, чтобы ТАК извращатся.

[ravenrrr]

а как насчет такого правила?

 

-A FORWARD -d ip_kompa -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

 

есть ли право на жизнь у такого правила?

[LostSoul]

а как насчет такого правила?

 

-A FORWARD -d ip_kompa -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

 

есть ли право на жизнь у такого правила?

MAC работает только на входящие пакеты.

И MAC можно заменить.

Смотрите ссылку, что я вам дал.

[ravenrrr]

В области оповещений около значка сетевой карты появляется приглашение ввести логин-пароль.

 

Вводим логин-пароль ( как при WiFi-сети ) и роутер открывает Internet для нашего MAC.

 

 

Отрубаем комп более чем на 30 секунд -- и наш MAC протухает на роутере, доступ закрывается.

 

Красота... один минус -- можно на дублированном маке сидеть.

 

Жуть как не люблю VPN-ы всякие.

что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет.

локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое...

нельзя допускать никаких дублированных маков.

и VPN-ы обязательно должны быть!

[LostSoul]

что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет.

локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое...

нельзя допускать никаких дублированных маков.

и VPN-ы обязательно должны быть!

До только компьютер клиента шлёт свой первый dhcp-запрос , ему в грубой форме приходит обратно требование подтвердить свои полномочия доступа к порту ( на ethernet уровне ).

Типа "ИДПС Петров, предьявите документы".

В случае положительного решения вопроса -- приходит dhcp-ответ в зависимости от того кто авторизовался на среде с этого MAC.

Компьютер может быть настроен и статически.

 

Если вы ставите вопрос так что "никаких дублированных маков" , вас может спасти ТОЛЬКО минимум L2 фильтрация на каждом порту коммутатора уровня доступа.

[Kirill Frolov]

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

1. man arptables

2. man arp

3. это всё безмерная дурость и ни от чего не помогает, зато клиенты за свой гемморой тебе обеспечат свой...

[disappointed]

ip-sentinel под линух или ipguard под фрю.

Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак.

Но от подстановки пары соседа конечно не защитит.

[ravenrrr]

ip-sentinel под линух или ipguard под фрю.

Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак.

Но от подстановки пары соседа конечно не защитит.

а теперь пожалуйста подскажи где ее можно достать бесплатно?

[Alteron]

Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант.

[ravenrrr]

Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант.

мне под сусе 10.2! если можно пожалуйста...

[LostSoul]

А вы не ставьте suse :-)

[S_ergey]

мне под сусе 10.2! если можно пожалуйста...

http://www.nongnu.org/ip-sentinel/

[ravenrrr]

не судите строго, я новичок в деле построения больших сетей (городского масштаба). Буду ооочень признателен за любую помощь.

 

а в целом и общем стоит вот такая вот задача:

 

Дано:

1.Серверы.

1.1. Билинг.

1.2. Шлюз интернета. - 10.0.0.1

1.3. Фаервол.

1.4. Прокси-сервер.

1.5. Впн-сервер1. - 10.10.0.0 - home

1.6. Впн-сервер2. - 10.20.0.0 - corporative

2. Все клиенты условно приходят через любые средства связи в один коммутационный свич в офис.

3. Все клиенты делятся на группы, которые имеют доступ только к некоторым серверам:

3.1 Группа DialUP должна видеть только шлюз интернета.

3.2 Группа домашних пользователей должна видеть впн-сервер1 + шлюз интернета.

3.3. Группа юр.лиц должна видеть впн-сервер2 + шлюз интернета.

4. Клиенты не должны видеть друг друга сервер форвардинг на фаерволе.

5. Все правила в iptables необходимо строить с учетом политики по умолчанию - drop

 

Задача:

1. Построить схему ядра и прохождения потоков.

2. Написать правила маршрутизации всех клиентов.

3. Подготовить списки айпи-адресов для всех серверов и групп клиентов.

[ravenrrr]

я наверное слишком требователен?

[zoro]

а в чем проблема? в ОС, ПО, Железе?

[ravenrrr]

а в чем проблема? в ОС, ПО, Железе?

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

[YuryD]

Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся

Большой ему Респект ! Но если можно - передайте ему что рестарт скриптом на rl работает так себе, надо sleep ставить. И не собрать под 4.5 - 4.7 а жаль :(

[martin74]

а в чем проблема? в ОС, ПО, Железе?

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту.

 

Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь...

У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;)

[ravenrrr]

как бы посильнее крикнуть, чтобы в ответ не слушать тишину? :(

[user_anonymous]

а в чем проблема? в ОС, ПО, Железе?

стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.

ОС: OpenSuse 10.2

 

вот в этом вот...

никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту.

 

Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь...

У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;)

arping <ip соседа> - получаем его МАК

 

... Ждем, когда сосед отключится

 

ifconfig со сменой МАКа и IP на соседский

... Качаем нахаляву

 

... и заметаем следы

ifconfig сосменой МАКа и IP на свой

 

1. Мораль такой - сети на неуправляемом оборудовании - большое Г

2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP)

[LostSoul]

1. Мораль такой - сети на неуправляемом оборудовании - большое Г

2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP)

Мораль такой -- если нету денег на управляемое железо, идем и внедряем вот такое решение.

 

http://forum.nag.ru/forum/index.php?showtopic=37976

[martin74]

а кто вам сказал, что pptp не используется???? Доступ в инет - ессно pptp. И фиксация ип\мак позволяет в локалке поддерживать более менее порядок...

По статистике умников, умеющих мак адреса на картах - менее 0.05% ;)

А 802.1х авторизацию я посмотрел... Неинтересно.