Тема: restricted IP authentication (Прочетена 3008 пъти)

sunhater · « -: Apr 29, 2005, 18:07 »

Възможно ли е по някакъв начин за дадена компютърна мрежа на всеки зададен MAC адрес да отговаря един IP адрес. И никой друг освен притежателят на този MAC адрес да не може да го използва. Аз знам как става с DHCP, но не намерих начин да забраня "присвояването" на IP от "непознат" MAC.

VladSun · « **Отговор #1 -:** Apr 29, 2005, 18:11 »

статична ARP таблица

виж arp -f

sunhater · « **Отговор #2 -:** Apr 29, 2005, 18:13 »

Цитат

статична ARP таблица

Това е много добра ключова фраза

'>. Ще се радвам на по-подробни разяснения и примери. Аз междувременно ще се поровя в гугл.

« **Отговор #3 -:** Apr 29, 2005, 21:48 »

Ако смяташ, че ще решиш проблема с "мошенниците" много се лъшеш!
Първо ако искаш да стане "интелигентно" то си купи един малък Managment Switch - 8 port 3Com е добро решение и е ефтино който ще го сложиш преди твоят Linux Box.
Другият вариант е с "IPtables MAC-IP pair match".
Как става?
Трябва да имаш
"ipt_macmatch"
напиши това ако е като модул:
#modprobe ipt_macmatch max_entries=20000
Ако го нямаш вземаш го от тук:
http://www.firerack.com/downloa.....tar.gz
--------------------------------------------
Вариант 1:

#iptables -N macmatch
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -j macmatch
(..друга FORWARDing политика, протоколи и т.н.)
#iptables -A macmatch -m mac --mac-source 00:11:22:33:44:55 -j RETURN
#iptables -A macmatch -m mac --mac-source 11:22:33:44:55:66 -j RETURN
#iptables -A macmatch -m mac --mac-source 22:33:44:55:66:77 -j RETURN
#iptables -A macmatch -j DROP
(дропим всичко друго което не е в "macmatch")
--------------------------------------------
Вариант 2:
#iptables -A FORWARD -m macmatch --mac --ip -j ACCEPT
Синтаксиса е:
<IP address, MAC address, source interface>
192.168.0.20 00:20:aa:bb:cc:dd eth0
--------------------------------------------

Малко е оплетено като го разгледаш ама ще се оправиш ако не пиши и ще го оправа...

'>

VladSun · « **Отговор #4 -:** Apr 30, 2005, 00:59 »

Сорри, pstoianov, ама няма смисъл да товарим с iptables правила, когато решението може да е по-просто - така или иначе ARP таблицата винаги ще я има ...

Относно суичовете - тези, програмируемите, дето прихващат първия мак адрес на порта и се заключват по него до хард рестарт вършат най-добра работа по отношение на ARP/IP spoofing.

« **Отговор #5 -:** Apr 30, 2005, 19:10 »

Интернет доставчиците решават проблема като с помоща на proxy_arp сървърчето ти отговаря на вс. arp рекуести със своя MAC. По този начин клиент каквото и IP да си сложи ще му дава грешка освен ако не е конектнат към сървъра с PPPoE например .
Как става на практика обаче незнам

'>
Ако някой има идея да каже ....

sunhater · « **Отговор #6 -:** Apr 30, 2005, 20:19 »

Значи пробвах с arp -f и стана. Единственото, което трябва да се направи предварително е /etc/ethers. Там редовете са със формат:
<IP> <MAC>
После си смених IP-то на клиентската машина, но нямаше никаква връзка с останалите машини.

Не знам колко секюр е това, но всеки с XP може да си смени MAC адреса, стига да знае как

'> .

Това с iptables не разбрах за кое се отнася "Синтаксиса". Но май нема смисъл да дълбая с iptables.

« **Отговор #7 -:** Apr 30, 2005, 20:51 »

Погледни и за arpwatch в гоогле поне да гледаш кой какво сменя и да го набараш навреме

'>)

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	pppd: PAP authentication failed Хардуерни и софтуерни проблеми	astronom	4	3984	Feb 02, 2004, 12:54 от
	Pam authentication modules Хардуерни и софтуерни проблеми	rat	4	3251	Apr 19, 2006, 14:24 от rat
	Ssh key authentication Настройка на програми	lawlessbg	16	6274	Oct 16, 2008, 22:35 от nedpetko
	моля споделете exim4 authentication Настройка на програми	Bogo	1	1712	Nov 09, 2015, 09:43 от laskov
	Authentication required by Wi-Fi network Настройка на хардуер	MRadev751	18	6160	Dec 10, 2016, 12:50 от BRADATA

Автор Тема: restricted IP authentication (Прочетена 3008 пъти)