Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: Yasen6275 в Apr 05, 2016, 13:04



Титла: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 05, 2016, 13:04
В отнодително малка  (/24) но относително запълнена мрежа е казано че адресите се раздават с DHCP.
Въпреки това има гамени които си набиват статични адреси. Съответно стават ип колизии.
 Няма достатъчно умно активно оборудване за да ги изловя кои са.

Иска ми се двойките мак/ип които не са раздадени от DHCP сървара да нямат изход извън локалната мрежа.
Някой срешал ли е подобно решение?


Титла: Re: Офраничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Acho в Apr 05, 2016, 13:10
Не ти знам какъв е сървъра, ама филтрирай ги по MAC адрес. Трябва да има такива теми във форума, потърси и попрочети.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 05, 2016, 13:53
Филтрирането по мак адрес ще работи до момента в който реши да си смени мака.

Искам генерално решение.


Титла: Re: Офраничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: runtime в Apr 05, 2016, 13:57
Ами на прима виста може да направиш нещо от сорта на:

Код:
iptables -t raw -N CLIENTS
iptables -t raw -A PREROUTING -p udp --dport 67 -j CLIENTS

while read MAC_ADDR; do
iptables -t raw -A CLIENTS -m mac --mac-source $MAC_ADDR -j ACCEPT
done < /etc/allowed_macaddr.conf

iptables -t raw -A CLIENTS -j DROP

Във /etc/allowed_macaddr.conf си вкарай мак адресите, които да имат достъп :)

А генерално решение няма... освен да му дръпнеш кабела. Много ясно, че може да си сменя IP да сменя мак адрес и т.н.

Това не съм го тествал сега го писах :) Може и да има грешка някъде...

Може да си добавиш и  source IP за проверка и да го разшериш с IP проверка "-s $IP"


Edit:

Може и да го разшириш с

Код:
iptables -t raw -N CLIENTS
iptables -t raw -A PREROUTING -p udp --dport 67 -j CLIENTS

while read DATA; do
IFS=";" && Array=($DATA)
iptables -t raw -A CLIENTS -s ${Array[0]} -m mac --mac-source ${Array[1]} -j ACCEPT
done < /etc/allowed_macaddr.conf

iptables -t raw -A CLIENTS -j DROP

тук във файла ги опиши на отделен ред

IP;MAC

и вече там си слагай по веригите каквото си искаш...

П.С. може и да има по-елегантно решение ама днес мисленето особено много ме затруднява :-D


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Acho в Apr 05, 2016, 14:07
Искаш ти готово и генерално решение, ама за без пари.

Ако не е тайна - някакъв по-малък квартален доставчик ли си ? Или това е някаква си фирмена мрежа, а ти си СИСАДМИНА ?


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: programings в Apr 05, 2016, 14:16
Switch с DHCP snooping. Още на layer 2 няма да пуска трафик с IP различно от това, което DHCP-то е дало за този клиент на този порт на switch-а,.

Допълнително с такъв switch може да укажеш на кой порт е закачено DHCP-то, и ако някой си пусне DHCP на клиентската машина, ще избегнеш големи ядове.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 05, 2016, 14:31
runtime Мерси за сламките. Май най-чисто ще е с някаква обработка dhcp.leases.
programings Ако имаше пари за читаво оборудване изобщо нямаше да се занимавам с подобни гимнастики.
Acho Точно така. проблем ли ти е?


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: ddantgwyn в Apr 05, 2016, 15:24
Искаш ти готово и генерално решение, ама за без пари.

Ако не е тайна - някакъв по-малък квартален доставчик ли си ? Или това е някаква си фирмена мрежа, а ти си СИСАДМИНА ?

Всъщност, не се иска готово решение. Търсят се идеи най-вече, с които да се реши описания проблем. И не, не е мрежа на квартален доставчик на internet, нито е фирмена мрежа. И в двата случая има начин този проблем да се реши. Мисля, че ги знаеш и двата. А да, системният администратор на тази мрежа  всъщност съм аз, а не колегата, койте отворил темата.

Става дума за локална мрежа във факултет на университет, като самата сграда е сравнително голяма, което прави трудно физическото и претърсване от сам човек за сравнително кратко време.

dhcp сървърът раздава адреси от два обхвата -- един от публични адреси за локалната мрежа на факултета и друг от частни адреси за безжичната мрежа, като точките за достъп до нея за ограничени до няколко места в сградата. В dhcpd.conf са направени и резервации на част от публичните адреси. В самият конфигурационен файл на dhcp сървъра не са открити грешки.

Проблемът се появява само с публичните адреси -- в последно време зачестиха оплакванията за IP конфликт, включително и с адреси, на които е направена резервация. Едно възможно обяснение за мен е, че идва някой с notebook, вади кабела от стария стационарен компютър и го пъха в notebook-a, вижда какъв адрес има на стационарната машина и го набива ръчно на notebook-a. Защо го прави това, все още не съм разбрал, понеже не съм хванал някой такъв физически. Комутаторите в мрежата са неуправляеми (не питайте защо, ясно е) и е неблагодарна работа да ходя да го търся по етажите с notebook в ръка.

Едно възможно решение е да се ползва ebtables на шлюза на мрежата за тотално отрязване на достъпа на досадника до internet, но според мен това не е достатъчно елегантно, тъй като се налага да се действа ръчно и то чак след появата на IP конфликт. Същото се отнася и за използването на iptables за филтрация по MAC адрес. Затова и се търси идея или вече намерено (и описано) решение за автоматизирано решение на този проблем. Допустим отговор е и „ами няма такова решение“ -- ще бъда благодарен и на него.

Това е засега.

Благодаря на отзовалите се досега, както и на тези, които биха го направили и в бъдеще.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: runtime в Apr 05, 2016, 16:14
Не може ли да се ползва IPwatchD в комбинация с iptables? Смисъл IPwatchD може да изпълни скрипт след като засече конфликт? Това не съм го задълбал, само ми идва като идея :)


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: laskov в Apr 05, 2016, 16:41
Опроводете си розетките по стените по някакъв нестандартен начин, а patch кабелите от розетките до компютрите ги запойте твърдо в компютъра, като премахнете куплунга на LAN картите.

Ако искате, приемете написаното като шега. :)

Идея 2:
Може да изключите от списъка на нарушителите компютрите, които в момента са online и с тях няма конфликт. Това вероятно ще ви улесни да хванете нарушителите.

Идея 3:
Пуснете им по-голяма мрежа от частни адреси вместо ...


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: jet в Apr 05, 2016, 19:26
Едно Raspberry PI да слуша мрежата през няколко минути и ако открие промяна да ти праща имейл.
Под промяна, може да е различна комбинация ИП-МАК адрес, комбинация от отворени портове (nmap),  ако имаш служебни шерове на всички ПС-та (за нуждите на бекъп в локална мрежа например) може да гледаш и това, дори наличието на файл на тези шерове.
nmap може да различава и операционни системи по отпечатъци.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 05, 2016, 21:20
Не може ли да се ползва IPwatchD в комбинация с iptables? Смисъл IPwatchD може да изпълни скрипт след като засече конфликт? Това не съм го задълбал, само ми идва като идея :)
До колкото прочетох не става. Това се опитва да пази собствения ти ip от културно държащ се софтуер. което не е случая.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 05, 2016, 21:33
Едно Raspberry PI да слуша мрежата през няколко минути и ако открие промяна да ти праща имейл.
Под промяна, може да е различна комбинация ИП-МАК адрес, комбинация от отворени портове (nmap),  ако имаш служебни шерове на всички ПС-та (за нуждите на бекъп в локална мрежа например) може да гледаш и това, дори наличието на файл на тези шерове.
nmap може да различава и операционни системи по отпечатъци.
Няма недостиг на машини които да следят какво става. Въпроса е кое е максимално лесното и културно решение за некултурното поведение на потребителите.

Защото винаго можем да приложим класическия метод, аз да се разтърча по комутаторите и да изключвам кабели, ddantgwyn да следи кои макове изчезват. И да изловим  мизерника.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: runtime в Apr 05, 2016, 22:10
Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам :)
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... :) Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс :)


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: jet в Apr 06, 2016, 00:45
Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам :)
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... :) Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс :)
Ей затова предлагам тези шерове. Крадеца няма как да знае за тях и да ги имитира.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: gat3way в Apr 06, 2016, 01:32
Кауза пердута е това без умен суич с dhcp snooping или 802.1x автентикация. Човек ако го прави нарочно това, винаги може да слухти известно време трафика и да разбере колкото си иска двойки IP-MAC адреси и да се прави на когото си иска. Да, то може да си инсталираш arpwatch или нещо друго подобно, което на момента да те уведомява като се получат дуплицирани ARP отговори, ама какво от това - ще ходиш по суичовете и ще разкачаш кабели докато намериш гадината? Дори на всеки порт да имаш лепенка с MAC адреса отсреща, дори да си правиш тънки сметки с това през колко суича до теб е на база латентността, не можеш по цял ден да стоиш като сотаджия на повикване. То не е проблем само с малките доставчици - аз имах един казус с Мтел дето ми взеха едни пари уж за да ме вържат в мрежата и не дойдоха две седмици, а междувременно се оказа че аз винаги съм си имал L2 свързаност, при което ми изпуши главата и отидох и им заявих в съпорт форума че ако не ми дадат мрежови настройки и не ми върнат таксата, ще почна да се правя на който реша, понеже те и да са голяма компания, също нямат умни суичове при крайните клиенти, поне тук. То там дори стана по-къдраво, защото се появи един трол дето си мисли че е по-голям трол от мен, ама нещо не се получи, за това си трябва талант. Още на същият ден обаче се уреди проблема.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: 10101 в Apr 06, 2016, 09:41
Сменете технологията, микротик със хотспот или pptp/pppoe.Хотспот-а може и да е unlimited без пароли и потребители.Но няма шанс да има нет без да се логне ...статика не работи :)


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: ddantgwyn в Apr 06, 2016, 10:49
Кауза пердута е това без умен суич с dhcp snooping или 802.1x автентикация. Човек ако го прави нарочно това, винаги може да слухти известно време трафика и да разбере колкото си иска двойки IP-MAC адреси и да се прави на когото си иска. Да, то може да си инсталираш arpwatch или нещо друго подобно, което на момента да те уведомява като се получат дуплицирани ARP отговори, ама какво от това - ще ходиш по суичовете и ще разкачаш кабели докато намериш гадината? Дори на всеки порт да имаш лепенка с MAC адреса отсреща, дори да си правиш тънки сметки с това през колко суича до теб е на база латентността, не можеш по цял ден да стоиш като сотаджия на повикване. То не е проблем само с малките доставчици - аз имах един казус с Мтел дето ми взеха едни пари уж за да ме вържат в мрежата и не дойдоха две седмици, а междувременно се оказа че аз винаги съм си имал L2 свързаност, при което ми изпуши главата и отидох и им заявих в съпорт форума че ако не ми дадат мрежови настройки и не ми върнат таксата, ще почна да се правя на който реша, понеже те и да са голяма компания, също нямат умни суичове при крайните клиенти, поне тук. То там дори стана по-къдраво, защото се появи един трол дето си мисли че е по-голям трол от мен, ама нещо не се получи, за това си трябва талант. Още на същият ден обаче се уреди проблема.

Съгласен съм, че е почти кауза пердута без умни комутатори, но потребителите при мен не са злонамерени. Просто някой си мисли, че е много наясно с мрежовите технологии и прави тези проблеми от глупост, а не защото иска.

Засега се спирам на идеята при откриване на дублирани адреси и/или при оплакване за IP конфликт да режа тотално достъпа на нарушителя по неговия mac адрес и да го чакам сам да дойде да пита какво става. Това предполага известна ръчна бродерия, но пък не ме притеснява чак толкова -- случаите не са драстично много, че да ми се схванат ръцете, но все пак ги има.

А за умни комутатори -- ще видим. Повече от 8 години разправям, че цялата мрежа е за подмяна, но шефовете нехаят. Едно, че наистина няма много пари, второ -- че нещата (с моя помощ) все още работят и трето -- просто не са наясно какво означава да останат без мрежа. Та при една нова мрежа се надявам да се преборя за умни комутатори. Ако не всички, поне по един такъв да има на етаж.

Благодаря още веднъж на всички отзовали се.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: Yasen6275 в Apr 06, 2016, 12:12
Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам :)
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... :) Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс :)
Идеята е не да го локализираме а да му резнем връзката със външния свят по мак адрес. Той сам ще се обади после.
Сканират се маковете в dhcp.leases файла.
Пуска се арп-скан и се вадят мак адресите
От двата списъка се вадят уникалните които са само в арп-скан
После какво се прави с тях още не е решено.


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: edmon в Apr 07, 2016, 09:13
като ви кажат кой адрес е дублиран,
го закачате на машина преди мрежата, откачате клиентите физически за миг и после ги закачате, така на идиота ще му дава, че му е дублиран адреса :))))


ПС а те играят игри и им трябват статични адреси  :)


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: luda_glawa в Apr 07, 2016, 09:47
Сменете технологията, микротик със хотспот или pptp/pppoe.Хотспот-а може и да е unlimited без пароли и потребители.Но няма шанс да има нет без да се логне ...статика не работи :)

Мисля, че това е най-доброто решение - хотспот


Титла: Re: Ограничаване на нета ако ИП-то не е дадено от DHCP сървъра.
Публикувано от: jet в Apr 07, 2016, 14:07
Или интернет прокси