Forum Debian Users Gang

ptaq kto jest aktywny mmozesz sprawdzic

arp -n

o ile nie uzywasz statycznego arping'u

do sprawdzania kto zmienia ip lub MAc sluzy pakiet arpwatch

oczywiscie uzytkownik za rowno moze zminiac IP jak i MAC a wiec jesli upoluje sobie komple IP + MAC i bedzie umial zminic sobie MAC to raczej za bardzo teog nie wykryjesz.....

rozwiazanie jakis inny system autoryzacji np PPPoE aczkolwiek dla poczatkujacego moze byc trudny w konfiguracji....

rozwiazanie narazie dla Ciebie przywiazac sobie statycznie IP do MAC realizuje sie to orbiac statyczna tablice arp tworzy sie plik /etc/ethers wpisujac do niego mac oraz ip klijentow.
przykladowo

00:07:95:EC:FD:4D 10.10.10.99
00:90:4B:85:60:AC 10.10.10.97

statyczna tablice aktywuje sie poleceniem

 arp -f

Sie nie znam za bardzo ale można w jakis sposób logować np user-agenta przegladarki internetowej i porównać ze wsyztskimi. No ale siedzi taki na Xpeku jak wiekszość to chyba to nic nie da a jak na debianowym firefoxie instalenietym aptem to juz ładniej to wyglada i cosik mozna poszukać

proponuję zrobić listę klientów wraz z ich zdresami IP i MAC ..

czy to ma byc cos takiego?

/etc/ethers
192.168.1.2    00:E0:18:EC:C9:37
192.168.1.3    00:80:00:00:00:90
192.168.1.4    00:0A:CD:00:B1:DA
192.168.1.5    00:07:95:F5:1A:D6
192.168.1.6    00:60:08:65:D9:06
192.168.1.7    00:E0:29:18:F9:2F
192.168.1.8    00:0C:76:53:7F:EA
192.168.1.9    00:E0:52:00:25:CA
192.168.1.10   00:69:00:0E:0B:8E

wpuszczaj tylko wybrane pary IP+MAC ,lub ogranicz hosty maską 255.255.255.252 - wtedy każdy klient ma swoją bramę (tak , trzeba zrobić tyle aliasów na bramie ilu masz klientów) i po zmianie IP kolo nie ma neta ...

mozesz troche dokladnie co po kolei mam wpisac?koles z allegro postawil mi serwer na debianie - nie narzekam ale chcialbym cos wiecej do niego dorzucic cos od siebie

z gory dzieki za pomoc

witam
troszke mi głopio pistać o tym ale ok.
wprowadziłem klientów mac i ip do /etc/ethers robię arp -f to mi wyrzuca :

arp -f /etc/ethers
Usage:
  arp [-vn]  [<HW>] [-i <if>] [-a] [<hostname>]             <-Display ARP cache
  arp [-v]          [-i <if>] -d  <host> [pub]               <-Delete ARP entry
  arp [-vnD] [<HW>] [-i <if>] -f  [<filename>]            <-Add entry from file
  arp [-v]   [<HW>] [-i <if>] -s  <host> <hwaddr> [temp]            <-Add entry
  arp [-v]   [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub          <-''-

        -a                       display (all) hosts in alternative (BSD) style

jak nie tak to probuje inaczej ,małym skryptem w bash

grep -E -v "^#|^$" /etc/ethers | while read ADR MAC OPIS
do
arp -s $ADR $MAC
done

po sprawdzeniu poleceniem arp -n mam :

10.10.41.51              ether   00:4F:62:07:83:4B   C                     eth3
10.10.72.20              ether   00:13:46:BA:4E:B2   C                     eth3
10.10.57.90              ether   00:80:C6:E7:C7:91   C                     eth3
10.10.17.50              ether   00:13:46:17:8D:17   C                     eth3
10.10.28.30              ether   00:4F:62:0B:A7:AA   C                     eth3
10.10.46.50              ether   00:90:4B:89:69:04   C                     eth3
10.10.28.20              ether   00:30:4F:32:53:E7   C                     eth3
10.10.69.77              ether   00:30:1A:09:44:0A   C                     eth3
10.10.18.90              ether   00:13:46:C5:50:59   C                     eth3
10.10.69.171             ether   00:30:1A:09:32:C6   C                     eth3
10.10.7.55               ether   00:4F:62:0B:1F:43   C                     eth3
10.10.69.24              ether   00:30:1A:0C:95:84   C                     eth3
10.10.98.20              ether   00:80:C6:E8:2F:37   C                     eth3
10.10.7.14               ether   00:0E:2E:BD:2E:0F   CM                    eth3
10.10.91.20              ether   00:90:CC:CD:EC:8E   C                     eth3
10.10.37.10              ether   00:4F:62:09:DA:43   C                     eth3
10.10.36.14              ether   00:0A:E4:B5:49:DB   CM                    eth3
10.10.46.30              ether   00:11:09:62:6A:CF   C                     eth3
10.10.100.20             ether   00:14:85:2A:91:7C   C                     eth3
10.10.35.10              ether   00:4F:62:0F:93:EF   C                     eth3
10.10.101.50             ether   00:90:4B:89:69:CD   C            

co jest nie tak z arp  ? kazdy powinien miec flagę CM a nie ma

zawsze mozesz zobic skrypt www(php) + skrypt firewalla

jak kolo pojawia sie w sieci, to jako pierwsza strona odpala mu sie strona logowania do sieci.
Jesli sie poprawnie zautentykuje to w firewallu otierszasz mu dostep do netu.

Dam glowe, ze ktos cos takiego juz napisal, ale nawet z palca nie powinno zabrac to wiele czasu. Drastyczne, bo wymaga logowania, ale zawsze to jeszcze jedna bramka do przejscia, a tu juz zwykle podszycie sie (IP+MAC) juz nie wystarczy.

skuteczne ? hehe :))

ptaq - co do samego zabepsieczenia to musial bys wprowadzic jakich  bardziej zawansowany sposub autoryzacji, bo niesty na dzien dzisejszy zabespieczenie ip+MAC mija sie z celem.....

w takich przypadkach chyba najlepsze jest pppoe

a w jaki sposob skonfigurowac pppoa zeby po polaczeniu sie mozna bylo kozystac z konsoli?
mnie chodzi, zeby zastapic ssh pppoa, czy moze zostawic to w spokoju??

Nie bardzo rozumiem o co chodzi, pppoe i pppoa to enkapsulacja
protokołu ppp poprzez sieć ethernet (pppoe) lub atm (pppoa) i nie
ma to nic wspólnego z ssh.

faktycznie, masz racje zle sie wyrazilem, chodzi mi o vpn (kiedys kumpel laczyl sie poprzez polaczenie wdzwaniane z routerem linksys'a) ze z zewnatrz nie mozna sie polaczyc z serwerem ale dopiero po polaczeniu sie przez vpn'a

chyb, ze dalej cos motam :)

vpn - to jest virtualna sieć prywatna .tunel zwiększający bezpieczeństwo w sieci.

dostęp wdzwaniany robisz za pomocą modemu telefonicznego i ppp,
najłatwiej zrobić vpn'a przez pptp, trochę trudniej openswan/freeswan czyli ipsec.