Jump to content
Калькуляторы

Заблокировать доступ к локалке

Есть сеть примерно на 2500 абонентов. Оборудование на домах в большинстве случаем неуправляемое. Но каждый дом (в крайнем случае - 2) подключен к порту квартального L3-коммутатора. Абонентам раздаются IP-адреса по DHCP, все в одном VLANе, адреса раздаются одинаково всем, базы МАКов нет. Доступ в интернет получают по VPN (PPTP). При этом в сети есть и локальные ресурсы (торрент, DC++, FTP и т.п.), доступ к которым осуществляется в обход VPN. Когда заканчиваются деньги на счете у абонента, Радиус выдает отказ в авторизации и, соответственно, VPN не поднимается, инета нет. А локальные ресурсы продолжают быть доступны. Задача - сделать так, чтобы при отрицательном балансе абонент не мог бы пользоваться и локальными ресурсами. Пока есть 2 идеи, как это сделать:

 

1. Собрать все МАК-адреса, прописать их в DHCP и выдавать IP по ним. Соответственно МАКи должников убирать из конфига DHCP и рестартовать его.

Недостаток - огромный конфиг DHCP, необходимость его постоянно править и передергивать сервер. К тому же абоненту никто не мешает прописать адрес вручную и продолжать пользоваться локалкой, если ему не выдался по DHCP.

 

2. У квартальных коммутаторов (Zyxel-4124) есть функция MAC Port Authentication, при получении нового МАКа он отправляет запрос на Радиус с этим МАКом и, в зависимости от ответа, разрешает прохождение пакетов с ним или нет. Тут тоже придется собирать МАКи у абонентов, да еще неизвестно, насколько отлажена эта функция (Port MAC Authentication).

 

Как лучше? Может быть, есть еще какие-то способы, как это реализовать, прошу поделиться...

Edited by motorhunter

Share this post


Link to post
Share on other sites

Базу MAC можно собрать через dhсp.leases или arpwatch, совместив данные с логами vpn сервера.

Также неплохо бы сделать vlan на дом.

Edited by marikoda

Share this post


Link to post
Share on other sites

Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз.

Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд.

Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE.

 

Поднимайте старые темы форума. Итог - первое предложение в моем посте.

Share this post


Link to post
Share on other sites

Это частный случай отслеживания IP-MAC и не более. Я думал у нас академический спор ;)

Share this post


Link to post
Share on other sites
Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз.

Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд.

Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE.

 

Поднимайте старые темы форума. Итог - первое предложение в моем посте.

При такой конфигурации сети перейти сразу на "порт-абонент" довольно дорого.

Промежуточный вариант - влан на дом вполне жизнеспособен, но желательно еще отслеживать MAC.

При этом ничего не мешает не спеша переходить на "порт на абонента".

Share this post


Link to post
Share on other sites

Взять dhcp.leases, выделить те строки, у кого баланс положительный,

и запихнуть в список разрешений в файрволл на локальном сервере.

 

Связки MAC-IP на DHCP-сервере лучше сделать статическими.

От подмен не спасёт, но работу с нормальными клиентами слегка упорядочит.

Share this post


Link to post
Share on other sites

Надо поднять PPPoE сервер и делать авторизацию на нем.

IP адреса не выдавать вовсе.

Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3.

Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом.

Share this post


Link to post
Share on other sites
Надо поднять PPPoE сервер и делать авторизацию на нем.

IP адреса не выдавать вовсе.

Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3.

Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом.

Классика жанра. Поднимаю PPPoE в своем сегменте, ловлю лохов (это если не отслеживать левые PPPoE). Продолжаю. Включаюсь в сеть, вижу ПК Васи. Вася - лох. Натравливаю на него эксплойты, мочу его system32, тушу его машину, меняю ему мак впридачу, ставлю IP-MAC Васи. Продолжаю. Задолбало платить за Интернет. С Петей договариваюсь и за пиво ставлю ему прокси/впн-сервер. Поключаюсь к нему. Всем удобно и хорошо. Вопрос был не в PPPoE, а в ограничении доступа в локалку.

 

Закрываем тему. Управляемый порт на абонента решает проблему. Остальное - самообман.

 

Share this post


Link to post
Share on other sites

Мда, господа... скудновато у вас с фантазией.

Вот вам нормально работающая схема.

Линки с домов агрегируются куда? Правильно - на агрегатор. Так вот на этом агрегаторе должны быть IP-ACL. Делаем три профиля ацл - первый разрешает source-IP на конкретных портах, второй разрешает всем доступ к личному кабинету/сайту провайдера, третий - запрещает все. Далее правим биллинг, чтобы он запихивал в нужный агрегатор в первый профиль ацл для конкретной связки IP-порт. Соответственно, кому нет такой ацл - доступ возможен только в личный кабинет и в пределах своего дома (тупого свича на доме).

Для этой схемы надо прописать в билинге:

1. Порт и свич, который агрегирует абонента в ядро.

2. МАС абонента.

3. Статические абонентские IP (раздавать которые можно все также через дхцп вытягиванием из биллинга через радиус по МАС-у).

Кроме того, если к этой схеме еще и привентить ip-sentinel (or ipguard on FreeBSD), то это убъет все потуги умников напрочь.

Недостаток схемы - привязка к МАС абонента. Можно уйти и от этого, но только путем отказа от дхцп и раздачи всем статических ИП.

Share this post


Link to post
Share on other sites

Абоненты включены в неуправляемые коммутаторы. Там ничего нельзя сделать - только косвенно задетектить.

Про недостаток: какая разница по DHCP или статикой IP получен (абонент должен все настройки получать автоматом)... IP-MAC действует на управляемом порту. Более того, если много клиентов неуправляемых коммутаторов упретесь еще и в ограничение статик маков на порту.

 

Третий раз говорю - только управляемый порт на абонента обеспечивает спокойный сон. Или остальные просто от нечего делать ставят управляемое оборудование на доступ и строят схемы влан пер юзер итд?

 

Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.

Share this post


Link to post
Share on other sites

Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.

Почему до 130-и? мы чего то не знаем...???

Share this post


Link to post
Share on other sites
Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.
Почему до 130-и? мы чего то не знаем...???

Анекдот рассказать про старца и журналиста?

Share this post


Link to post
Share on other sites
Анекдот рассказать про старца
Сидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:

- Мальчик, не ешь так много конфет, это вредно.

- А вот мой дедушка дожил до ста лет.

- Это потому, что он не ел столько сладкого.

- Нет, это потому, что он никогда не лез не в свое дело!

Share this post


Link to post
Share on other sites
Анекдот рассказать про старца
Сидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:

- Мальчик, не ешь так много конфет, это вредно.

- А вот мой дедушка дожил до ста лет.

- Это потому, что он не ел столько сладкого.

- Нет, это потому, что он никогда не лез не в свое дело!

Хороший анекдот. Но я другой имел ввиду.

 

Забитая деревня. Корреспондент находит самого старого жителя планеты. Идет процесс интервью:

-Скажите, сколько вам лет?

-Много! Сразу и не вспомнить.

-Ну у вас есть секрет?

-Конечно, я никогда в жизни ни с кем не спорил.

-А сколько вам лет?

-130.

-Но ведь этого не может быть?!!!

-Да, этого не может быть.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this