Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
#1 2005-07-10 20:24:44
uruboro - 
Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
Witam,
dużo się mówi i jeszcze więcej jest sposobów na blokowanie konkretnych userów w sieci... ale ja bym chciał ugryźć temat z drugiej strony. Moje pytanie: jak zrobić aby dopuszczać do sieci tylko konkretne hosty??? Czy sam serwer dhcp wystarczy? Głównie to chodzi mi o to aby zablokować możliwość wpięcia w sieć dowolnego kompa... wiecie, ludzie przynoszą do pracy laptopy lub podłączają nowe kompy bez mojej zgody i wiedzy...
Czekam na pomysły.
Offline
#2 2005-07-10 20:58:22
rogos - Moderator
- rogos
- Moderator
- Zarejestrowany: 2005-02-12
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
filtrowanie po macku...
Offline
#3 2005-07-10 21:01:21
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
no tak, ale wtedy musałbym dodać każdego hosta do firewalla... a to dużo roboty... (sieć ma około 50 kompów)
Offline
#4 2005-07-10 21:18:28
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
Lecz jezeli przeskanują sieć to poznają macki innych kompów ktore są podłączone do sieci i programowo zmienią sobie swoje macki na te legalne i juz maja dostęp do sieci
Pozdrawiam
Offline
#5 2005-07-11 18:52:27
zlyZwierz - Moderator
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
pozdro
Offline
#6 2005-07-11 19:27:02
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
pozdro
a dopisanie oprócz mac-a jeszcze ip oraz ograniczenie usera do jednego portu np:
Kod:
iptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -p tcp --dport 80 -m state --state NEW -j ACCEPT
powiązanie ip+mac dało by większą pewność że nie podrobią?
jak wtedy zrobić SNAT-A, czy dla całej sieci czy każdemu ip osobno?
Zarejestrowany użytkownik Linuksa #361563
Offline
#7 2005-07-11 19:38:12
BiExi - matka przelozona
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
http://dug.net.pl/texty/masq.php
http://dug.net.pl/texty/pliki/firewall.tar.gz
dodatkowo mozesz sobie zrobic statyczna tablice arp tak aby sie jakies podejzan miski po siecinie plataly
Offline
#8 2005-07-12 23:45:38
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
witam
1. czy ma sens zrobienie reguł w stylu:
Kod:
ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
i dodatkowo jeszcze statycznej tabeli ARP. W obu przypadkach są te same dane.
2. czy arpwatch działa tylko w przypadku przydziału ip przez DHCP?
które z powyższych rozwiązań jest skuteczniejsze?
pozdrawiam
Zarejestrowany użytkownik Linuksa #361563
Offline
#9 2005-07-13 02:16:17
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
1. na to ci jeszcze nie odpowiem bo sam ciągle drążę ten temat
2. arpwatch wyłapuje wszystko co się w sieci pojawi, serwer dhcp nie ma z tym nic wspólnego
Offline
#10 2005-07-13 10:02:20
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
dzieki za odp na 2
właśnie co do 1 to wg mnie to jest zdublowanie tego samego w obu przypadkach jest to para IP/MAC. Chociaż w tablicy arp dla nieużywanych adresów IP można przypisać jako mac np same 0.
Więc dlatego moje pytanie czy to podwójne zabezpieczenie daje większą pewność, że ktoś się podszyje?
edit
czy po wykryciu próby zmiany IP można automatycznie usera odciąć?
Zarejestrowany użytkownik Linuksa #361563
Offline
#11 2005-07-13 19:25:03
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
witam
1. czy ma sens zrobienie reguł w stylu:
Kod:
ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPTi dodatkowo jeszcze statycznej tabeli ARP.
sam sobie odpowiadam. ma sens ponieważ:
Static ARP pozwala tylko na "nie wyslanie pakietów do niewlasciwego
odbiorcy". Nie zapewnia jednak sprawdzania pary mac:ip przy pakietach
odbieranych. Do tego trzeba uzyc iptables/netfilter
pozdrawiam
Zarejestrowany użytkownik Linuksa #361563
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)