ravenrrr Опубликовано 5 сентября, 2007 · Жалоба Доброго вам времени суток! есть такая задача: есть 2 сети 1) 10.10.0.0/24 - физ. лица; 2) 10.20.0.0/24 - юр. лица; стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip. ОС: OpenSuse 10.2 Если что то из инфы необходимо добавить, ткните меня пожалуйста... Заранее благодарю! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user_anonymous Опубликовано 6 сентября, 2007 · Жалоба Если в сети неуправляемое оборудование, то никакая кресная сила не сможет удержать узверя от смены у себя МАК-а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 6 сентября, 2007 · Жалоба сможет. Если зафиксировать хотя бы на роутере таблицу маков. Правда это не удержит от смены мака на мак соседа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 6 сентября, 2007 · Жалоба Читать тут http://forum.nag.ru/forum/index.php?showtopic=37976 Пригодно для клиентов под виндой. Остается дыра -- когда один добропорядочный держит компьютер включенным, другой злонамеренный может поставить его MAC/IP и чего-то там покачать. Но это крайней геморойно для хакера, заметно для пользователя и в целом такой дырой можно принебречь. В наши дни не так уж тяжело достаётся халявный интернет, чтобы ТАК извращатся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 7 сентября, 2007 · Жалоба а как насчет такого правила? -A FORWARD -d ip_kompa -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT есть ли право на жизнь у такого правила? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 7 сентября, 2007 · Жалоба а как насчет такого правила? -A FORWARD -d ip_kompa -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT есть ли право на жизнь у такого правила? MAC работает только на входящие пакеты. И MAC можно заменить. Смотрите ссылку, что я вам дал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 7 сентября, 2007 · Жалоба В области оповещений около значка сетевой карты появляется приглашение ввести логин-пароль. Вводим логин-пароль ( как при WiFi-сети ) и роутер открывает Internet для нашего MAC. Отрубаем комп более чем на 30 секунд -- и наш MAC протухает на роутере, доступ закрывается. Красота... один минус -- можно на дублированном маке сидеть. Жуть как не люблю VPN-ы всякие. что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет. локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое... нельзя допускать никаких дублированных маков. и VPN-ы обязательно должны быть! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 8 сентября, 2007 · Жалоба что за логин-пароль? dhcp сам определяет присутствие компа в сети и выдает ему автоматом ip и доступ в инет.локалка мыслится на целый город, думается мне такое решение ни очень подходит мне как таковое... нельзя допускать никаких дублированных маков. и VPN-ы обязательно должны быть! До только компьютер клиента шлёт свой первый dhcp-запрос , ему в грубой форме приходит обратно требование подтвердить свои полномочия доступа к порту ( на ethernet уровне ).Типа "ИДПС Петров, предьявите документы". В случае положительного решения вопроса -- приходит dhcp-ответ в зависимости от того кто авторизовался на среде с этого MAC. Компьютер может быть настроен и статически. Если вы ставите вопрос так что "никаких дублированных маков" , вас может спасти ТОЛЬКО минимум L2 фильтрация на каждом порту коммутатора уровня доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Frolov Опубликовано 9 сентября, 2007 · Жалоба стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip. 1. man arptables 2. man arp 3. это всё безмерная дурость и ни от чего не помогает, зато клиенты за свой гемморой тебе обеспечат свой... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 9 сентября, 2007 · Жалоба ip-sentinel под линух или ipguard под фрю. Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак. Но от подстановки пары соседа конечно не защитит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 14 сентября, 2007 · Жалоба ip-sentinel под линух или ipguard под фрю. Не даст работать в броадкаст сегменте левым либо неописанным связкам ip-мак. Но от подстановки пары соседа конечно не защитит. а теперь пожалуйста подскажи где ее можно достать бесплатно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alteron Опубликовано 14 сентября, 2007 · Жалоба Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 14 сентября, 2007 · Жалоба Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся иногда умники, но, благо, локалка небольшая, вычисляем, отключаем. Для большой и уж тем более для коммерческой сети, это, конечно, не вариант. мне под сусе 10.2! если можно пожалуйста... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 14 сентября, 2007 · Жалоба А вы не ставьте suse :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S_ergey Опубликовано 14 сентября, 2007 · Жалоба мне под сусе 10.2! если можно пожалуйста... http://www.nongnu.org/ip-sentinel/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 17 сентября, 2007 · Жалоба не судите строго, я новичок в деле построения больших сетей (городского масштаба). Буду ооочень признателен за любую помощь. а в целом и общем стоит вот такая вот задача: Дано: 1.Серверы. 1.1. Билинг. 1.2. Шлюз интернета. - 10.0.0.1 1.3. Фаервол. 1.4. Прокси-сервер. 1.5. Впн-сервер1. - 10.10.0.0 - home 1.6. Впн-сервер2. - 10.20.0.0 - corporative 2. Все клиенты условно приходят через любые средства связи в один коммутационный свич в офис. 3. Все клиенты делятся на группы, которые имеют доступ только к некоторым серверам: 3.1 Группа DialUP должна видеть только шлюз интернета. 3.2 Группа домашних пользователей должна видеть впн-сервер1 + шлюз интернета. 3.3. Группа юр.лиц должна видеть впн-сервер2 + шлюз интернета. 4. Клиенты не должны видеть друг друга сервер форвардинг на фаерволе. 5. Все правила в iptables необходимо строить с учетом политики по умолчанию - drop Задача: 1. Построить схему ядра и прохождения потоков. 2. Написать правила маршрутизации всех клиентов. 3. Подготовить списки айпи-адресов для всех серверов и групп клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 17 сентября, 2007 · Жалоба я наверное слишком требователен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 18 сентября, 2007 · Жалоба а в чем проблема? в ОС, ПО, Железе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 19 сентября, 2007 · Жалоба а в чем проблема? в ОС, ПО, Железе?стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.ОС: OpenSuse 10.2 вот в этом вот... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 сентября, 2007 · Жалоба Во фре ipguard идёт в портах. Писал, кстати, его человек из нашей локалки ;) У нас работает. Находятся Большой ему Респект ! Но если можно - передайте ему что рестарт скриптом на rl работает так себе, надо sleep ставить. И не собрать под 4.5 - 4.7 а жаль :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 19 сентября, 2007 · Жалоба а в чем проблема? в ОС, ПО, Железе?стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.ОС: OpenSuse 10.2 вот в этом вот... никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту. Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь... У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ravenrrr Опубликовано 20 сентября, 2007 · Жалоба как бы посильнее крикнуть, чтобы в ответ не слушать тишину? :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user_anonymous Опубликовано 20 сентября, 2007 · Жалоба а в чем проблема? в ОС, ПО, Железе?стоит dhcp сервак с привязкой к макам юзеров, необходимо правилом файервола iptables исключить возможность ручной замены ip.ОС: OpenSuse 10.2 вот в этом вот... никакие правила на сервере не помешают мне пойти в магазин и купить новую сетевую карту. Так что может поставить вопрос по другому? Исключить возможность использования сервисов сети абонентами с незарегестрированным мак адресом? И исключить возможность произвольного назначения себе ип адреса? Большего вы не добьетесь... У меня это сделано так: незарегестрированные мак адреса получают адреса из специального диапазона, который может добраться только до странички со статистикой... И там уже можно прописать свой мак адрес, конфиги dhcp поменяются, клиент получит свой родной ип и начнет работать. И параллельно на всех маршрутизаторах прописана arp таблица, содержащая все возможные ип адреса на интерфейсе. За исключением того служебного диапазона... Для незанятых ип адресов прописывается мак адрес, сгенеренный по какой нить формуле.. можно например ставить префикс и дальше писать собсно ип адрес.. ну тут уже фантазия рулит ;) arping <ip соседа> - получаем его МАК ... Ждем, когда сосед отключится ifconfig со сменой МАКа и IP на соседский ... Качаем нахаляву ... и заметаем следы ifconfig сосменой МАКа и IP на свой 1. Мораль такой - сети на неуправляемом оборудовании - большое Г 2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 20 сентября, 2007 · Жалоба 1. Мораль такой - сети на неуправляемом оборудовании - большое Г2. Если нет денег на нормальное железо - используйте туннели (PPPoE или PPtP) Мораль такой -- если нету денег на управляемое железо, идем и внедряем вот такое решение. http://forum.nag.ru/forum/index.php?showtopic=37976 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 21 сентября, 2007 · Жалоба а кто вам сказал, что pptp не используется???? Доступ в инет - ессно pptp. И фиксация ип\мак позволяет в локалке поддерживать более менее порядок... По статистике умников, умеющих мак адреса на картах - менее 0.05% ;) А 802.1х авторизацию я посмотрел... Неинтересно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...