Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2005-07-10 20:24:44

  uruboro - Użytkownik

uruboro
Użytkownik
Skąd: Danzig
Zarejestrowany: 2005-07-09

Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

Witam,
dużo się mówi i jeszcze więcej jest sposobów na blokowanie konkretnych userów w sieci... ale ja bym chciał ugryźć temat z drugiej strony. Moje pytanie: jak zrobić aby dopuszczać do sieci tylko konkretne hosty??? Czy sam serwer dhcp wystarczy? Głównie to chodzi mi o to aby zablokować możliwość wpięcia w sieć dowolnego kompa... wiecie, ludzie przynoszą do pracy laptopy lub podłączają nowe kompy bez mojej zgody i wiedzy...
Czekam na pomysły.

Offline

 

#2  2005-07-10 20:58:22

  rogos - Moderator

rogos
Moderator
Zarejestrowany: 2005-02-12

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

filtrowanie po macku...


[img]http://img88.imageshack.us/img88/1856/imageslg0.png[/img]

Offline

 

#3  2005-07-10 21:01:21

  uruboro - Użytkownik

uruboro
Użytkownik
Skąd: Danzig
Zarejestrowany: 2005-07-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

no tak, ale wtedy musałbym dodać każdego hosta do firewalla... a to dużo roboty... (sieć ma około 50 kompów)

Offline

 

#4  2005-07-10 21:18:28

  korbol - Członek DUG

korbol
Członek DUG
Zarejestrowany: 2005-04-29

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

Lecz jezeli przeskanują sieć to poznają macki innych kompów ktore są podłączone do sieci i programowo zmienią sobie swoje macki na te legalne i juz maja dostęp do sieci


Pozdrawiam

Offline

 

#5  2005-07-11 18:52:27

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT

pozdro


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#6  2005-07-11 19:27:02

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT

pozdro[/quote]

a  dopisanie oprócz mac-a jeszcze ip oraz ograniczenie usera do jednego portu np:

Kod:

iptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -p tcp --dport 80 -m state --state NEW -j ACCEPT

powiązanie ip+mac dało by większą pewność że nie podrobią?

jak wtedy zrobić SNAT-A, czy dla całej sieci czy każdemu ip osobno?


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#7  2005-07-11 19:38:12

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

http://dug.net.pl/texty/masq.php
http://dug.net.pl/texty/pliki/firewall.tar.gz
dodatkowo mozesz sobie zrobic statyczna tablice arp tak aby sie jakies podejzan miski po siecinie plataly


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#8  2005-07-12 23:45:38

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

witam

1. czy ma sens zrobienie reguł w stylu:

Kod:

ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT

i dodatkowo jeszcze statycznej tabeli ARP. W obu przypadkach są te same dane.

2. czy arpwatch działa tylko w przypadku przydziału ip przez DHCP?

które z powyższych rozwiązań jest skuteczniejsze?

pozdrawiam


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#9  2005-07-13 02:16:17

  uruboro - Użytkownik

uruboro
Użytkownik
Skąd: Danzig
Zarejestrowany: 2005-07-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

1. na to ci jeszcze nie odpowiem bo sam ciągle drążę ten temat
2. arpwatch wyłapuje wszystko co się w sieci pojawi, serwer dhcp nie ma z tym nic wspólnego

Offline

 

#10  2005-07-13 10:02:20

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

dzieki za odp na 2

właśnie co do 1 to wg mnie to jest zdublowanie tego samego w obu przypadkach jest to para IP/MAC. Chociaż w tablicy arp dla nieużywanych adresów IP można przypisać jako mac np same 0.
Więc dlatego moje pytanie czy to podwójne zabezpieczenie daje większą pewność, że ktoś się podszyje?

edit
czy po wykryciu próby zmiany IP można automatycznie usera odciąć?


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#11  2005-07-13 19:25:03

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)

witam

1. czy ma sens zrobienie reguł w stylu:

Kod:

ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT

i dodatkowo jeszcze statycznej tabeli ARP. [/quote]

sam sobie odpowiadam. [b]ma sens[/b] ponieważ:

Static ARP pozwala tylko na "nie wyslanie pakietów do niewlasciwego
odbiorcy". Nie zapewnia jednak sprawdzania pary mac:ip przy pakietach
odbieranych. Do tego trzeba uzyc iptables/netfilter

pozdrawiam


Zarejestrowany użytkownik Linuksa #361563

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.010 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00134 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.58.201.240' WHERE u.id=1
0.00070 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.58.201.240', 1732662935)
0.00031 SELECT * FROM punbb_online WHERE logged<1732662635
0.00107 SELECT topic_id FROM punbb_posts WHERE id=9142
0.00158 SELECT id FROM punbb_posts WHERE topic_id=1079 ORDER BY posted
0.00034 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=1079 AND t.moved_to IS NULL
0.00032 SELECT search_for, replace_with FROM punbb_censoring
0.00071 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=1079 ORDER BY p.id LIMIT 0,25
0.00115 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=1079
Total query time: 0.00769 s