Jump to content

Решение проблемы одинаковых IP адресов в сети

comores
 Share

Recommended Posts

comores

comores

Posted
Posted

У меня в сети один из пользователей толи по незнанию,толи намерено поставил статический IP совпадающий с IP сервера, при этом была нарушена работоспособность сети, до тех пор, пока я не исправил у него настройки.

Сеть :

Сервер - Linux, у клиентов Windows

Свичи 100 мб, витая пара.

Кто сталкивался с такой проблемой и как ее решали?

Аркадий Глазырин

Аркадий Глазырин

Posted
Posted
У меня в сети один из пользователей толи по незнанию,толи намерено поставил статический IP совпадающий с IP сервера, при этом была нарушена работоспособность сети, до тех пор, пока я не исправил у него настройки.

 

Не по теме: У меня за всё время такой проблемы не возникло ни разу. Может потому, что сервер не выключается.

Ведь что происходит: если юзер пропишет у себя адрес как и у сервера, то после перезагрузки рабочей станции [там Windows скорее всего] система определяет, что такой адрес уже есть и попросту не активизирует его и не даёт его использовать. И не надо никуда бегать.

 

По крайней мере я ни разу за всё время по этому поводу не бегал. То, что юзеры на станциях IP могут сменить вторично. Это их мелкие проблемы. Сменил IP - нет у тебя интернета. Только и всего. На сервер же они таким образом влияния не оказывают.

comores

comores

Posted
  • Author
Posted
Не по теме: У меня за всё время такой проблемы не возникло ни разу. Может потому, что сервер не выключается.

Ведь что происходит: если юзер пропишет у себя адрес как и у сервера, то после перезагрузки рабочей станции [там Windows скорее всего] система определяет, что такой адрес уже есть и попросту не активизирует его и не даёт его использовать. И не надо никуда бегать.

У меня сервер постоянно включен, но когда юзер сделал себе статический IP такой же как и у сервера, то в сети сразу же возник конфликт этих IP, и интерфейс на сервере не работал, до тех пор пока я сам не исправил IP у юзера.

От такие дела, и ни кто мне до сих пор не сказал, чем это можно исправить.

DrDiesel

DrDiesel

Posted
Posted

Решение простое. Ethernet - это только носитель, не более. Не строить сеть по принципу локалки, использовать PPTP, PPPoE, VPN и им подобные. А то так у тебя завтра кто-нить опять поменяет, и накачает на IP соседа пару гигов...

comores

comores

Posted
  • Author
Posted
Решение простое. Ethernet - это только носитель, не более. Не строить сеть по принципу локалки, использовать PPTP, PPPoE, VPN и им подобные. А то так у тебя завтра кто-нить опять поменяет, и накачает на IP соседа пару гигов...

Так если сделат, чтобы все в сети будут видеть друг друга и сервер через VPN, то это получится не 100 мегабитная сеть, а тормоз. Неужели никто не сталкивался с такой проблемой, или все строят сети на VPN?

Holg

Holg

Posted
Posted

Гм... какие тормоза милай... таки РРоЕ - и все дела - никаких тормозов, авторизовался и видь себе всех на тех же 100 мбитахЪ...

comores

comores

Posted
  • Author
Posted

Hugle,

ty uveren shto lo interface u tebia ne uhodit w down?

С итерфейсом все в порядке.

Гм... какие тормоза милай... таки РРоЕ - и все дела - никаких тормозов, авторизовался и видь себе всех на тех же 100 мбитахЪ...

Что оно такое это PPoE? Как его поставить на Linux и как авторизируются на нем клиенты?

Так пользователи же будут видеть друг друга через сервер и соответственно нагрузка на сеть очень возрастет. Или я чтото не так понимаю? Объясните тогда.

MaxKr

MaxKr

Posted
Posted
Что оно такое это PPoE? Как его поставить на Linux  и как авторизируются на нем клиенты?

Так пользователи же будут видеть друг друга через сервер и соответственно нагрузка на сеть очень возрастет. Или я чтото не так понимаю? Объясните тогда.

 

PPPoE - проброс канального протокола PPP певерх Ethernet. С обязательной аутентификацией и выдачей персонального адреса. На Линуксе это делается штатным pppoed, на Киске - соответствующими настройками.

 

ИМХО, в Вашем случае проще поставить DHCP. Ну и arpwatch для надежности.

medrek

medrek

Posted
Posted

ню-ню, посмотрю я как вы решите эту задачку :) ... например я злобный пЫонер и вынюхал пару-тройку ипи (возможно с ключами от впн) и начитаю их менять вместе с маками :) ... да вы вспотеете меня ловить :) или я не прав :) ?

арпвочь не поможет - маки меняются вместе с ипи. задача из разряда "а вам слабо ?" на который пятьдесят тысяч миллионов вариантов ответов :)

DrDiesel

DrDiesel

Posted
Posted

Меняешь мак, и сразу же получаешь отсос, ибо порт коммутатора не пропустит.

 

Ну а ежели сетка на хабах или неуправляемых свитчах, тогда ты действительно становишься головной болью ;-))

Ivan Pesin

Ivan Pesin

Posted
Posted

Возвращаясь к вопросу:

 

в скрипты начальной загрузки

 

echo -n "Setting up IP spoofing protection..."

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo 1 > $f

done

echo "done."

 

Если совсем быть злым -- можно еще правила в фаерволл прописать дропающие пакеты в цепи input для всех _физических_ интерфейсов с адресами сервера

 

Вроде все.

DrDiesel

DrDiesel

Posted
Posted

Это конечно да, но если все же в сети появится машина с IP сервера. На ARP запрос клиента ответят оба, какой MAC<->IP клиент пропишет в своей таблице? Может привести к тому, что сервак то будет чувствовать себя прекрасно, а клиенты видеть его не будут...

Ivan Pesin

Ivan Pesin

Posted
Posted

безусловно. но клиенты _уже_ работающие с сервером, к моменту подмены клиентом IP, будут и дальше нормально работать за счет арп кэша. Те кто не работал -- это как повезет, если первый арп-реплай будет от сервера - то ок, если от клиента - то бэд.

medrek

medrek

Posted
Posted
Возвращаясь к вопросу:

Если совсем быть злым -- можно еще правила в фаерволл прописать дропающие пакеты в цепи input для всех _физических_ интерфейсов с адресами сервера

Возможно мы общаемся на разных языках :).

простейшая схема: три компа (wks) воткнуты в свитч, от свича идёт шнурок в рутер, далее нам не нужно. Ставим на одной wks ыпы рутера и что получаем ? правильно рутеру все фиолетово, а вот свичу далеко нет :) ... Вся работа загнётся ещё по дороге к рутеру. И будет бедная тупая железка мыкаться меж двух портов до сканчания веков :).

И никакие файрволы и антидоты не помогут.

 

з.ы. де обещанная тема про DoS атаки на хоум-нетворкс ?

Ivan Pesin

Ivan Pesin

Posted
Posted
Возможно мы общаемся на разных языках :).

 

простейшая схема: три компа (wks) воткнуты в свитч, от свича идёт шнурок в рутер, далее нам не нужно. Ставим на одной wks ыпы рутера и что получаем ? правильно рутеру все фиолетово, а вот свичу далеко нет :) ... Вся работа загнётся ещё по дороге к рутеру. И будет бедная тупая железка мыкаться меж двух портов до сканчания веков :).

И никакие файрволы и антидоты не помогут.

 

ну если у вас такие звери на трех (!) компах... даа... ну виланы тогда... (это отвлечение от темы)

 

еще раз повторю, что те клиенты, которые _уже_ работали с сервером до подмены адреса продолжат свою работу, потому что пара ip-mac у них в кэше. другим будет сложно, согласен... да и если запись из кэша очистится, тоже плохо .. :-(

 

"А пошто нам админы??!" (с) кто-то

 

Кстати, тут еще важно, как я уже говорил, чей арп-реплай клиент услышит первым. А свичу-то чего? Будет форвардить пакеты, как форвардил. Проблема не в свиче, а в секьюрности IP. Клиент спрашивает: "Эй, чуваки! У кого ИП такой-то, а?". Ему сервер и подлый клиент шлют ответы: "Эгей, клиент, эта.. у меня такой ИП! Базарь ко мне на МАК ххх." А "ххх" для сервера и подлого клиента разные. Поэтому чей реплай клиент услышит первым с тем он и будет пытатся общатся.

 

решения же есть разные, в зависимости от стоимости это могут быть и виланы, и заточеный скрипт, работающий в связке с arpwatch, блокирующий на управляемом коммутаторе нужный порт в случае изменения IP.

 

Просто важно понять, что каждой задаче соответствует стоимость решения и построить трансатлантическую магистраль за 7 долларов 55 центов у вас не получится какие бы вы линуксы с шурекомами не использовали.

 

А на счет фаерволла, я посто не прочитал начальный постинг :-). Слепые мы, однако. Вместо "сети" я прочел "сервера". Вот. Ну ведь на ту же букву начинается ... %-)

 

з.ы. де обещанная тема про DoS атаки на хоум-нетворкс ?

 

опа.. это ж надо, какая утечки инфы... вот они атаки в своем проявлении. Тема будет, вернее она уже почти есть, но нужно доработать. А перед этим нужно разобратся с обязательной работой. %-) Кушать тоже хочется.

medrek

medrek

Posted
Posted
еще раз повторю, что те клиенты, которые _уже_ работали с сервером до подмены адреса продолжат свою работу, потому что пара ip-mac у них в кэше.

согласен. усложняем задачу, ставим пару ипи-мак рутера на wks :) ... поправьте меня грамотные люди ... у свича на каждом порту "висит" список маков, от этого свитч толкается в какой порт засунуть кадр, если у нас да двух портах будут висеть один мак то тогда что ? варианты:

1) кадр уйдёт на два порта сразу (аля arpoison) и кэшь wks'ов тут ваще не приделах ... ответит скорее всего wks - до сервера имхо обычно дальше :)

2) на свиче очиститься кешь и пока сервер не выплюнет арп-рипли всё отдыхает

3) свитч может сглючить, но эт я для количества вариантов :) ... потестить нужно

с чего эт я на свичи так обозлился, сам не знаю :)

 

решения же есть разные, в зависимости от стоимости это могут быть и виланы, и заточеный скрипт, работающий в связке с arpwatch, блокирующий на управляемом коммутаторе нужный порт в случае изменения IP.

блин, я хочу в вашу сеть :) ... локающийся каждые 5 минут порт на коммутоторе выведет из себя даже самого спокойного админа :), и не говорите мне что вы втыкаете по человеку в такой порт :)

 

т.е. итого: защиты нет, либо она неприемлима для хоум-нетворкс :) ?

Ivan Pesin

Ivan Pesin

Posted
Posted
согласен. усложняем задачу, ставим пару ипи-мак рутера на wks :) ... поправьте меня грамотные люди ... у свича на каждом порту "висит" список маков, от этого свитч толкается в какой порт засунуть кадр, если у нас да двух портах будут висеть один мак то тогда что ?  

двум портам одим мак соответствовать не может. либо коммутатор не знает где находится адресат и посыает кадр по всем портам, либо есть уникальное соответствие порт-мак. В случае, если клиент меняет свой мак, тогда таблица коммутатора будет постоянно перестраиваться (упрощенно говоря) в зависимости с какого порта пришел пакет.

 

с чего эт я на свичи так обозлился, сам не знаю :)

 

Действительно... %-) не функция это неуправляемых свичей безопасность на сетевом уровне обеспечивать.

 

блин, я хочу в вашу сеть :) ... локающийся каждые 5 минут порт на коммутоторе выведет из себя даже самого спокойного админа :)

 

Почему каждые пять минут??? Один раз локнулся и все -- у клиента нет сети, на устранение "некорректных действий пользователя" от 6 до 24-х часов. Судьба у него такая. А если локнулся порт на котором висит хаб с пятью клиентами, то разослать соовщение, что благодаря действиям клиента Н у вас сети нету :-(. И вознести молитву за нерадивого клиента. Гроб за счет фирмы.

 

и не говорите мне что вы втыкаете по человеку в такой порт :)

 

и буду говорить. только это не совсем домашняя сеть. вернее совсем не домашняя сеть.

 

т.е. итого: защиты нет, либо она неприемлима для хоум-нетворкс :) ?

 

итого: защита -- каждый клиент работает в своем вилане (да, дорого для малых домашних сетей). Другой защиты на физическом уровне я не вижу. Могут быть различные административные методы, которые, на мой взгляд и должны применятся в домашних сетях.

 

Но а если говорить строго, то за малую цену реализовать полную защиту локальной сети с одним широковещательным доменом на физическом уровне от подмены клиентом ип-адреса + мак-адреса действительно нельзя.

 

Как частичную защиту можно использовать в некоторых местах маршрутизатор, соответственно настроенный. Тогда проблема будет локализоватся широковещательны доменом.

comores

comores

Posted
  • Author
Posted
У меня в сети один из пользователей толи по незнанию,толи намерено поставил статический IP совпадающий с IP сервера, при этом была нарушена работоспособность сети, до тех пор, пока я не исправил у него настройки.  

Сеть :  

Сервер - Linux, у клиентов Windows  

Свичи 100 мб, витая пара.  

Кто сталкивался с такой проблемой и как ее решали?

Решает ли описанную проблему установка PPPoE?

DiBrain

DiBrain

Posted
Posted

Да, действительно решает ли? Ведь клиент не только поменять у ся адрес и мак может но и ppoe не активировать и покрайней мере до роутера (или сервака) он достучаться может же среда то одна передачи. Вот и получаеться что реально хоть какую-то секьюрность можно реализовать только vlan'ами и иже с ними? А вообще DHCP и в договоре писать что за несанкционированную смену ip и mac'a по рукам, точнее по корману-отключение без возврата средств, и без возможности повторного включения и если в районе нет больше конкурентов то не видать такому пользователю интернета всю жизнь, хороший блокирующий фактор. А по поводу как отследить? Дык клиент сменил себе ip-mac на серверные, меняешь на сервере ip-mac после этого пингуешь тот ip и бежишь вытыкать порты на свитче, по очереди. как пропадет, так и узнаешь на каком порту, желательно при свидетелях, а дальше по рукам тому, по рукам. Согласен, геммор но поймать всегда можно, вот другое дело то что неверные арп запросы можно просто рассылать клиентам например (помоему arp-poising называеться), посылать динамические маршруты и тд тем самым не давать им работать. Но это как говориться завсегда устроить можно все, на каждую хитрую ... найдется болт на 18. Проще выроботать метоы обноружения и дальнейшего устранения злоумышлиника чем пытаться сделать невозможным само преступление.

DrDiesel

DrDiesel

Posted
Posted
...Ведь клиент не только поменять у ся адрес и мак может но и ppoe не активировать и покрайней мере до роутера (или сервака) он достучаться может же среда то одна передачи...

Как же это он до него достучится, не активируя PPPoE, если на интерфейсе роутера никакого IP-адреса нет и в помине? ;-)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.