Автор Тема: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.  (Прочетена 6459 пъти)

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
В отнодително малка  (/24) но относително запълнена мрежа е казано че адресите се раздават с DHCP.
Въпреки това има гамени които си набиват статични адреси. Съответно стават ип колизии.
 Няма достатъчно умно активно оборудване за да ги изловя кои са.

Иска ми се двойките мак/ип които не са раздадени от DHCP сървара да нямат изход извън локалната мрежа.
Някой срешал ли е подобно решение?
« Последна редакция: Apr 05, 2016, 13:52 от Yasen6275 »
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Не ти знам какъв е сървъра, ама филтрирай ги по MAC адрес. Трябва да има такива теми във форума, потърси и попрочети.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
Филтрирането по мак адрес ще работи до момента в който реши да си смени мака.

Искам генерално решение.
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Ами на прима виста може да направиш нещо от сорта на:

Код:
iptables -t raw -N CLIENTS
iptables -t raw -A PREROUTING -p udp --dport 67 -j CLIENTS

while read MAC_ADDR; do
iptables -t raw -A CLIENTS -m mac --mac-source $MAC_ADDR -j ACCEPT
done < /etc/allowed_macaddr.conf

iptables -t raw -A CLIENTS -j DROP

Във /etc/allowed_macaddr.conf си вкарай мак адресите, които да имат достъп :)

А генерално решение няма... освен да му дръпнеш кабела. Много ясно, че може да си сменя IP да сменя мак адрес и т.н.

Това не съм го тествал сега го писах :) Може и да има грешка някъде...

Може да си добавиш и  source IP за проверка и да го разшериш с IP проверка "-s $IP"


Edit:

Може и да го разшириш с

Код:
iptables -t raw -N CLIENTS
iptables -t raw -A PREROUTING -p udp --dport 67 -j CLIENTS

while read DATA; do
IFS=";" && Array=($DATA)
iptables -t raw -A CLIENTS -s ${Array[0]} -m mac --mac-source ${Array[1]} -j ACCEPT
done < /etc/allowed_macaddr.conf

iptables -t raw -A CLIENTS -j DROP

тук във файла ги опиши на отделен ред

IP;MAC

и вече там си слагай по веригите каквото си искаш...

П.С. може и да има по-елегантно решение ама днес мисленето особено много ме затруднява :-D
« Последна редакция: Apr 05, 2016, 14:18 от runtime »
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Искаш ти готово и генерално решение, ама за без пари.

Ако не е тайна - някакъв по-малък квартален доставчик ли си ? Или това е някаква си фирмена мрежа, а ти си СИСАДМИНА ?
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

programings

  • Напреднали
  • *****
  • Публикации: 221
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Switch с DHCP snooping. Още на layer 2 няма да пуска трафик с IP различно от това, което DHCP-то е дало за този клиент на този порт на switch-а,.

Допълнително с такъв switch може да укажеш на кой порт е закачено DHCP-то, и ако някой си пусне DHCP на клиентската машина, ще избегнеш големи ядове.
« Последна редакция: Apr 05, 2016, 14:33 от programings »
Активен

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
runtime Мерси за сламките. Май най-чисто ще е с някаква обработка dhcp.leases.
programings Ако имаше пари за читаво оборудване изобщо нямаше да се занимавам с подобни гимнастики.
Acho Точно така. проблем ли ти е?
Активен

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Искаш ти готово и генерално решение, ама за без пари.

Ако не е тайна - някакъв по-малък квартален доставчик ли си ? Или това е някаква си фирмена мрежа, а ти си СИСАДМИНА ?

Всъщност, не се иска готово решение. Търсят се идеи най-вече, с които да се реши описания проблем. И не, не е мрежа на квартален доставчик на internet, нито е фирмена мрежа. И в двата случая има начин този проблем да се реши. Мисля, че ги знаеш и двата. А да, системният администратор на тази мрежа  всъщност съм аз, а не колегата, койте отворил темата.

Става дума за локална мрежа във факултет на университет, като самата сграда е сравнително голяма, което прави трудно физическото и претърсване от сам човек за сравнително кратко време.

dhcp сървърът раздава адреси от два обхвата -- един от публични адреси за локалната мрежа на факултета и друг от частни адреси за безжичната мрежа, като точките за достъп до нея за ограничени до няколко места в сградата. В dhcpd.conf са направени и резервации на част от публичните адреси. В самият конфигурационен файл на dhcp сървъра не са открити грешки.

Проблемът се появява само с публичните адреси -- в последно време зачестиха оплакванията за IP конфликт, включително и с адреси, на които е направена резервация. Едно възможно обяснение за мен е, че идва някой с notebook, вади кабела от стария стационарен компютър и го пъха в notebook-a, вижда какъв адрес има на стационарната машина и го набива ръчно на notebook-a. Защо го прави това, все още не съм разбрал, понеже не съм хванал някой такъв физически. Комутаторите в мрежата са неуправляеми (не питайте защо, ясно е) и е неблагодарна работа да ходя да го търся по етажите с notebook в ръка.

Едно възможно решение е да се ползва ebtables на шлюза на мрежата за тотално отрязване на достъпа на досадника до internet, но според мен това не е достатъчно елегантно, тъй като се налага да се действа ръчно и то чак след появата на IP конфликт. Същото се отнася и за използването на iptables за филтрация по MAC адрес. Затова и се търси идея или вече намерено (и описано) решение за автоматизирано решение на този проблем. Допустим отговор е и „ами няма такова решение“ -- ще бъда благодарен и на него.

Това е засега.

Благодаря на отзовалите се досега, както и на тези, които биха го направили и в бъдеще.
« Последна редакция: Apr 05, 2016, 15:29 от ddantgwyn »
Активен

the lamer's team honourable member

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Не може ли да се ползва IPwatchD в комбинация с iptables? Смисъл IPwatchD може да изпълни скрипт след като засече конфликт? Това не съм го задълбал, само ми идва като идея :)
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Опроводете си розетките по стените по някакъв нестандартен начин, а patch кабелите от розетките до компютрите ги запойте твърдо в компютъра, като премахнете куплунга на LAN картите.

Ако искате, приемете написаното като шега. :)

Идея 2:
Може да изключите от списъка на нарушителите компютрите, които в момента са online и с тях няма конфликт. Това вероятно ще ви улесни да хванете нарушителите.

Идея 3:
Пуснете им по-голяма мрежа от частни адреси вместо ...
« Последна редакция: Apr 05, 2016, 17:01 от laskov »
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Едно Raspberry PI да слуша мрежата през няколко минути и ако открие промяна да ти праща имейл.
Под промяна, може да е различна комбинация ИП-МАК адрес, комбинация от отворени портове (nmap),  ако имаш служебни шерове на всички ПС-та (за нуждите на бекъп в локална мрежа например) може да гледаш и това, дори наличието на файл на тези шерове.
nmap може да различава и операционни системи по отпечатъци.
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
Не може ли да се ползва IPwatchD в комбинация с iptables? Смисъл IPwatchD може да изпълни скрипт след като засече конфликт? Това не съм го задълбал, само ми идва като идея :)
До колкото прочетох не става. Това се опитва да пази собствения ти ip от културно държащ се софтуер. което не е случая.
Активен

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
Едно Raspberry PI да слуша мрежата през няколко минути и ако открие промяна да ти праща имейл.
Под промяна, може да е различна комбинация ИП-МАК адрес, комбинация от отворени портове (nmap),  ако имаш служебни шерове на всички ПС-та (за нуждите на бекъп в локална мрежа например) може да гледаш и това, дори наличието на файл на тези шерове.
nmap може да различава и операционни системи по отпечатъци.
Няма недостиг на машини които да следят какво става. Въпроса е кое е максимално лесното и културно решение за некултурното поведение на потребителите.

Защото винаго можем да приложим класическия метод, аз да се разтърча по комутаторите и да изключвам кабели, ddantgwyn да следи кои макове изчезват. И да изловим  мизерника.
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам :)
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... :) Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс :)
« Последна редакция: Apr 05, 2016, 22:16 от runtime »
Активен

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам :)
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... :) Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс :)
Ей затова предлагам тези шерове. Крадеца няма как да знае за тях и да ги имитира.
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Проблем с DHCP и IP-тата (няма мрежа)...
Настройка на хардуер
dest 13 7329 Последна публикация Jan 09, 2006, 23:06
от
DHCP
Настройка на програми
flipz 1 2490 Последна публикация Jan 19, 2006, 20:31
от divak
DHCP, DNS, FTP
Настройка на програми
BerkAdmin 1 2478 Последна публикация Feb 15, 2006, 00:10
от phantomlord
Dhcp
Настройка на програми
bboy 9 3995 Последна публикация Apr 29, 2006, 23:10
от Goust
Проблем с нета при dhcp
Настройка на програми
kaling 12 3853 Последна публикация Oct 04, 2006, 15:07
от dad