Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
#1 2005-07-10 20:24:44
uruboro - 
Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
Witam,
dużo się mówi i jeszcze więcej jest sposobów na blokowanie konkretnych userów w sieci... ale ja bym chciał ugryźć temat z drugiej strony. Moje pytanie: jak zrobić aby dopuszczać do sieci tylko konkretne hosty??? Czy sam serwer dhcp wystarczy? Głównie to chodzi mi o to aby zablokować możliwość wpięcia w sieć dowolnego kompa... wiecie, ludzie przynoszą do pracy laptopy lub podłączają nowe kompy bez mojej zgody i wiedzy...
Czekam na pomysły.
Offline
#2 2005-07-10 20:58:22
rogos - Moderator
- rogos
- Moderator
- Zarejestrowany: 2005-02-12
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
filtrowanie po macku...
[img]http://img88.imageshack.us/img88/1856/imageslg0.png[/img]
Offline
#3 2005-07-10 21:01:21
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
no tak, ale wtedy musałbym dodać każdego hosta do firewalla... a to dużo roboty... (sieć ma około 50 kompów)
Offline
#4 2005-07-10 21:18:28
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
Lecz jezeli przeskanują sieć to poznają macki innych kompów ktore są podłączone do sieci i programowo zmienią sobie swoje macki na te legalne i juz maja dostęp do sieci
Pozdrawiam
Offline
#5 2005-07-11 18:52:27
zlyZwierz - Moderator
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
pozdro
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#6 2005-07-11 19:27:02
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
ustaw domyslna polityke na DROP np. iptables -P FORWARD DROP, wtedy dopuszczasz konkretne kompy ... np iptables -A FORWARD -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
pozdro[/quote]
a dopisanie oprócz mac-a jeszcze ip oraz ograniczenie usera do jednego portu np:
Kod:
iptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -p tcp --dport 80 -m state --state NEW -j ACCEPTpowiązanie ip+mac dało by większą pewność że nie podrobią?
jak wtedy zrobić SNAT-A, czy dla całej sieci czy każdemu ip osobno?
Zarejestrowany użytkownik Linuksa #361563
Offline
#7 2005-07-11 19:38:12
BiExi - matka przelozona
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
http://dug.net.pl/texty/masq.php
http://dug.net.pl/texty/pliki/firewall.tar.gz
dodatkowo mozesz sobie zrobic statyczna tablice arp tak aby sie jakies podejzan miski po siecinie plataly
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#8 2005-07-12 23:45:38
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
witam
1. czy ma sens zrobienie reguł w stylu:
Kod:
ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPT
i dodatkowo jeszcze statycznej tabeli ARP. W obu przypadkach są te same dane.
2. czy arpwatch działa tylko w przypadku przydziału ip przez DHCP?
które z powyższych rozwiązań jest skuteczniejsze?
pozdrawiam
Zarejestrowany użytkownik Linuksa #361563
Offline
#9 2005-07-13 02:16:17
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
1. na to ci jeszcze nie odpowiem bo sam ciągle drążę ten temat
2. arpwatch wyłapuje wszystko co się w sieci pojawi, serwer dhcp nie ma z tym nic wspólnego
Offline
#10 2005-07-13 10:02:20
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
dzieki za odp na 2
właśnie co do 1 to wg mnie to jest zdublowanie tego samego w obu przypadkach jest to para IP/MAC. Chociaż w tablicy arp dla nieużywanych adresów IP można przypisać jako mac np same 0.
Więc dlatego moje pytanie czy to podwójne zabezpieczenie daje większą pewność, że ktoś się podszyje?
edit
czy po wykryciu próby zmiany IP można automatycznie usera odciąć?
Zarejestrowany użytkownik Linuksa #361563
Offline
#11 2005-07-13 19:25:03
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
witam
1. czy ma sens zrobienie reguł w stylu:
Kod:
ptables -A FORWARD -s ip.ip.ip.ip -m mac --mac-source a:d:r:e:s:m:a:c -j ACCEPTi dodatkowo jeszcze statycznej tabeli ARP. [/quote]
sam sobie odpowiadam. [b]ma sens[/b] ponieważ:
Static ARP pozwala tylko na "nie wyslanie pakietów do niewlasciwego
odbiorcy". Nie zapewnia jednak sprawdzania pary mac:ip przy pakietach
odbieranych. Do tego trzeba uzyc iptables/netfilter
pozdrawiam
Zarejestrowany użytkownik Linuksa #361563
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Jak to zrobić by się nie narobić? (blokowanie/dopuszczanie)
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00014 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00152 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.218.78.102' WHERE u.id=1 |
| 0.00080 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.218.78.102', 1727558819) |
| 0.00043 | SELECT * FROM punbb_online WHERE logged<1727558519 |
| 0.00041 | SELECT topic_id FROM punbb_posts WHERE id=9145 |
| 0.00005 | SELECT id FROM punbb_posts WHERE topic_id=1079 ORDER BY posted |
| 0.00032 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=1079 AND t.moved_to IS NULL |
| 0.00026 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00087 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=1079 ORDER BY p.id LIMIT 0,25 |
| 0.00107 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=1079 |
| Total query time: 0.00592 s | |