Господа, просвятите плиз про роутинг и VPN.

[Guest]

У нас пока что инет сделан через обычный 645r зухель. У каждого юзверя свой экаунт у прова, он соединяецца через VPN (через нашу сеть, далее через зухель, далее через какую-то сеть у прова) с сервером прова и оттуда уже к нему течет инет.

Так как стоит только кому-нить пукнуть и зухель повисает (от того же msblast) решили мы прикрыть зух от локалки промежуточным рутером.

Так вот, мы как раз ща запускаем файлопомойку и решили ее же и назначить рутером. На нее водрузили сусе кажись 9-й.

 

Теперь собстно вопрос:

 

Ставим машину с двумя сетевыми , к одной подключаем зухель, ко второй локалку. Настраиваем рутинг. Меня волнует вот что: VPN по дэфолту нормально должен через это извращение пролезть? Или что-то специально обученное нужно?

 

Дальше... В круг задач нашего мега-рутера будет входить также еще одна везчь. У нас в сети есть абонентка , т.е. просто все скидываются на те же свичи или вот например на файлопомойку. Но в сети есть засранцы, которые по пол-года не платят абонентку. Так как мне ооочень в падлу лазить по чердакам и отключать их, то я вот чего подумал: нужно просто отрубать засранцам инет и не надо будет никуда лазить ;)

Так вот вопрос. Как-бы это так наиболее цивильно организовать отрубание инета на нашем рутере чтоб наиболее злобно?

По минимуму хотелось бы привязать юзерей по мак и ип, но может есть чего-нить покруче?

И как это реализовать на файерволе? т.е. как просто заблокировать пакеты с определенных IP - это понятно, а вот как сделать так, чтоб еще и MAC проверялся? А может быть можно как-нить еще более злобно сделать? Типа как еще один VPN сначала до рутера , а потом уже через него VPN на сервер прова?

 

Я не слишком сумбурно выразился? ;)

[Guest]

отрубание инета на нашем рутере чтоб наиболее злобно?

 

наиболее злобно рубануть кабелюку топором

[Guest]

1. отрубание юзеров

самое жесткое что можно сделать

создать таблицу mac-ip на роутере

несуществующие ip сопоставить fake-mac`ам (0:0:0:0:0:0)

после заморозки таблицы сказать на интерфейсе что не надо посылать arp

ответов/запросов

 

если хочется отслеживать попытки юзерей поменять Ip на своем маке - arpwatch

 

административно отслеживать хитрожопых которые могут поменять mac

(поставив промежуточный nix или всякие виндовые тулзы)

 

правильнее

- поднять vpn на рутере - клиенты подключаются к нему с авторизацией

- поствить хитрожопым управляемый свитч вроде $300 - Allied Telesyn AT-8024

 

dmitriy[собака]rsmu.ru

[Guest]

А можно чуть подробней про блокировку арп ответов/запросов?

Как я понял, таблица эта соспоставит жестко мак с ип?

А может можно чем-нить типа deny all, и потом iptables ip mac allow?

[Guest]

Насчет VPN до сервера - очень заманчиво, но у нас уже идет VPN. Т.е. юзерь через VPN подключается к провайдеру через нашу сеть, затем через зухель 645r и далее через сеть провайдера к его серверу.

Может можно проложить VPN-туннель к серверу и уже через него пустить изначальный VPN до прова?

[Kuzmich]

Ваш зюхель всё-равно будет ложиться, т.к. msblast будет преспокойненько гнать хлам и через ваш роутер/отрубатель по VPN-каналу (собсвенно, куда default-gateway смотрит, туда и будет гнать). А вот зарезать NetBIOS внутри канала VPN, проходящего транзитом через маршрутизатор практически невозможно.

 

ИМХО, ставите на роутере/отрубателе авторизовалку (хотя-бы тот-же VPN), а с роутера уже поднимаете Х-дцать VPN-соединений с провом. Юзеров, соответственно, через source-routing маршрутизируете через эти VPN'ы. В этом случае вы действительно можете фильтровать исходящий от msblast'а трафик, закрывать юзеров от внешних атак.... но входящий трафик всё-равно будет считаться....

[Guest]

Мне туча народу говорила что решила проблему со своими зухелями именно с помощью промежуточного рутера.

То что трафик он гнать будет - да не проблема, главное чтоб не вешался он. Трафик считает пров для каждого юзера и это уже проблемы юзерей куда пойдет их трафик. Нам главное чтоб зухель не вис.

А рутер ложится судя по всему по той причине что у него максимум 255 соединений чтоли , arp таблица переполняется, нат глючит и т.д.