Linux за българи: Форуми

Здравейте ,порових се търсейки как да заключа даден ip адрес към неговия хостнейм ,но не намерих каквото исках.Практика при мен е да заключвам всеки ip адрес към MAC адресът му ,но мисля вече това не е достатъчно и реших да пробвам и с хостнейм ,но уви!Как в iptables ще се заключи ип адреса към неговият хостнейм (име на машината) изобщо дали в възможно?Погледнах в man ,но не намерих поне аз такъв вариант.Провокира ме едно рутерче АСУС ,което имаше такава опция да заключва ип адреса по името на машината ,която го притежава.

какво?!?

Да но какъв е смисъла. Заключването ще се състои в това router-a да казва какъв ти е hostname пред другите PC-та в твойта мрежа. А ако икаш потребителите да не си сменят IP-тата купувай  суичове на които могат да се адресират портовете.

Да но какъв е смисъла. Заключването ще се състои в това router-a да казва какъв ти е hostname пред другите PC-та в твойта мрежа. А ако икаш потребителите да не си сменят IP-тата купувай  суичове на които могат да се адресират портовете.

Такъв ,че рутера ще пуска интернет само ,ако ИП адреса , мака и хостнейм-а са съответстващи с тези ,които съм аднал аз.Не копувам суичове ,защото не пускам интернет на цялата мрежа ,а само на няколко машини(т.е не инвестирам понеже няма смисъл).ЛАН мрежата е голяма и искам малко или много да оптимизирам тази част в ,която са моите потребители.

какво?!?

Защо не писа какво не разбра?Щях да отговоря...  ???


Това се опитвам да направя + да заключи името на компютър-а.Примерно ,ако има опция:

На първо време кой точно хостнейм?

- според DNS PTR записа за IP адреса?
- според това какво е сетнато на машината с sethostname()? - абсолютно невъзможно според мен
- според NetBIOS името на хоста? (доста сложно)
- според хоста и NIS домейна?


Кой де?

Какъв хостнейм?

На първо време кой точно хостнейм?

- според DNS PTR записа за IP адреса?
- според това какво е сетнато на машината с sethostname()? - абсолютно невъзможно според мен
- според NetBIOS името на хоста? (доста сложно)
- според хоста и NIS домейна?


Кой де?

Какъв хостнейм?

(http://irccity.hit.bg/hostname.bmp)

Незнам ,аз толкова ли сложно го обясних..  :o  :)
-> според DNS записа за IP адреса

Това което показваш е кръщаване на IP-тата за да не се чудиш кое IP на кого е, а не заключване.
iptables работи с IP не с hostname , а и да работи с hostname то е този който излиза при ресолва на HOSHNAME -> IP (ПРИМЕРНО: nslookup privite-net.net -> 192.168.10.22).
Като цял изречението "Заключване на IP към HOSTNAME е безмислено, от гледна точка да ограничиш потребителя да не си сменя IP-то"

Това което показваш е кръщаване на IP-тата за да не се чудиш кое IP на кого е, а не заключване.
iptables работи с IP не с hostname , а и да работи с hostname то е този който излиза при ресолва на HOSHNAME -> IP (ПРИМЕРНО: nslookup privite-net.net -> 192.168.10.22).
Като цял изречението "Заключване на IP към HOSTNAME е безмислено, от гледна точка да ограничиш потребителя да не си сменя IP-то"

В момента виждаш хостнейм-а на потребителя ,а не кръщаване за запомняне на нещо.Потребителя с това ип ще има интернет само ,ако отговаря на този мак адрес и на този хостнейм.Това обаче не е от моята машина..нещо ,което искам да направя на нея.Не искам да ограничавам потребител да не си сменя  ип адреса ,а само да огранича повече възможноста да му текне интернет ,ако си смени ИП адреса и МАК адреса на някой от моите потребители.На ип адрес "192.168.2.Ь" да има интернет само ,ако потребителя има мак адрес "ЬЬ:ЬЬ:ЬЬ:ЬЬ:ЬЬ:ЬЬ" и хостнейм "ЬЬЬЬЬЬЬ".По този начин ограничавах с ИП*МАК адреси


и исках да знам дали има вариант това да се осъществи + хостнейм (ИП*МАК*ХОСТ).Това е!

http://en.wikipedia.org/wiki/Internet_Protocol

http://en.wikipedia.org/wiki/Domain_name_system

Много силно те съветвам да прочетеш и двете статии. Ако успееш да размислиш след това, това е нещо много хубаво.

И аз много силно те съветвам да усвоиш основите, преди да почнеш да си правиш собствени маршрутизации, аутентификации и алгоритми на криптиране ;D най-вече последното. Ето това е нова ниша hosttables!
п.п. Шeгувам се само, не се засягай ;)
Той не иска никъв dns, нищо, просто е решил, че Гошо от долния етаж ще се върже само и само ако машината му се казва GGindaclab, което общо взето е безсмислено, няма кой да провери това, пък и няма защо ??? За целта си има мак адрес и след това ип-адрес.

Питах..може или неможе за този днс запис ,който е името на пц-то.Нямаше нужда от толкова писане на празно.  [_]3

Ами забавното е че отговорът е "може", но това "може" нищо не означава. Това е малко като има ли  стойност на x за която производната на e^x = e^x. Има разбира се, но кво от това. Всеки може да ти изброи сума ти стойности, математически погледнато съществува безкрайно множество от такива. И кво от тва.

По същата логика можеш да ми изброиш безброй много хостове, които не съответстват на тоя адрес, забавното е че винаги този хост се резолв-ва на тоя адрес.

Това би имало някакво значение ако евентуално в момента на слагането на правилото някой някъде можеше да ти повлияе на процеса на резолвинг по начин по който хоста съответства на друг адрес. И няма да е много в твоя полза. Да не говорим че звучи като абсолютна теория на конспирациите.

И такива работи, и с малко, и с много приказки изводът е един: въпросът е безсмислен.

Това което ти показва уеб интерфейса на рутера е просто за удобство.

Забавно.  ;)

Хайде сега да ви разбием мечтите на всички ...

Първо имаме едно нещо дето се вика DHCP сървър и то раздава адреси. Стандартно ако искаме някой да го залепим на адрес се ползва мак адреса му ... следите ли ме.

Обаче някога преди доста години имало едни животни (тъпи терминали реално) дето трябвало им малко по специални настройки и не можело да се сегрегират по мак адрес. Така че един умен човек е написал малко допълнение към isc-dhcpd чрез което адреси могат да се раздават и по име. Даже име може да се форсира на база на адрес (не че някой от текущите дхцп клиенти ще те уважи).

Така че в заключение ип адрес може да се раздаде на база на хостнейм но не винаги работи така както се очаква. Прекалено много и безсмислена играчка е.

Хайде сега да ви разбием мечтите на всички ...

Първо имаме едно нещо дето се вика DHCP сървър и то раздава адреси. Стандартно ако искаме някой да го залепим на адрес се ползва мак адреса му ... следите ли ме.

Обаче някога преди доста години имало едни животни (тъпи терминали реално) дето трябвало им малко по специални настройки и не можело да се сегрегират по мак адрес. Така че един умен човек е написал малко допълнение към isc-dhcpd чрез което адреси могат да се раздават и по име. Даже име може да се форсира на база на адрес (не че някой от текущите дхцп клиенти ще те уважи).

Така че в заключение ип адрес може да се раздаде на база на хостнейм но не винаги работи така както се очаква. Прекалено много и безсмислена играчка е.

Това исках да знам.Дали съм чел статия или някой ми го е споменал още преди това ,сам се чудих дали може да се осъществи.Наистина е доста нелепо ,но уви все пак се оказва ,че има варианти и можеби заради тях толкова се задълбочих.  ;D И по  [_]3 на всички!

Идеята не е точно да се раздават адреси, идеята е за всеки пристигнал пакет да се проверява дали адресът му съответства на A записа на хоста.

Ако набиеш хостнейм вместо адрес в някое правило на iptables, хостнеймът ще се резолв-не и адресът ще се използва там в правилото. Може след един ден например този хостнейм да се резолв-ва вече на друг адрес, но това въобще не касае iptables, защото веднъж набито това правило, то match-ва ИП адреса там и няма нищо общо с хостнеймове.

Та явно идеята му е била дали няма начин динамично, при всеки пристигнал пакет, match-ващ там някакво правило, да се прави една справка дали някакъв хост се резолв-ва на този адрес.

На теория е възможно такова нещо да се напише, но идеята е бая безумна. За всеки получен пакет, рутерът трябва да изпрати едно A запитване към DNS сървър, да чака отговора и ако му хареса, да пропусне пакета. Не знам някой замисля ли се:

1) Колко би скочило latency-то в следствие на това?
2) Колко лесно би могло да се DoS-не рутера? Примерно почваш да flood-ваш някой хост навън с малки пакети:

* За всеки пакет се създава един клиентски сокет на рутера. Този сокет хаби памет. Когато се отворят голям брой сокети, се хаби съответно доста памет.
* На теория едновременно не можеш да имаш повече от 65535 такива клиентски сокети защото толкова му е множеството от source ports на мрежовия стек. Така че този flood успешно може да "отреже" други потребители на вътрешната мрежа.
* Създават се добри предпоставки за traffic amplification DoS. Примерно твоите "малки" ICMP пакети с които flood-ваш са с големина 28 байта. За всеки 28 байта караш сървъра да ти изпрати и изчака отговор на заявка, тези две заявки са UDP пакети, и двете поне 2 пъти по-големи от твоят ICMP пакет. Значи поне 4х traffic amplification, което не е чак лошо постижение.

Отделно, DNS заявките трябва да се реализират в kernelspace, това означава внасяне на допълнителна нестабилност и допълнителни секюрити рискове.

Сега остава другия вариант, на определено време един cronjob да ходи, да маха правила и да слага правила с набити хостнеймове. Което значи че поне в прозорците от време между две изпълнения на cronjob-a има рискове хостнейма да спре да се резолв-ва на този адрес, но пакети да бъдат пропускани. Или пък в момента между премахването на правилото и слагането на ново правило, вероятно ще преминават повече пакети, отколкото трябва, добре че този момент е кратък.

Ама наистина няма смисъл, няма абсолютно никаква файда от това, единствено проблемите се увеличават.

Така е.Може и да има алтернатива с идент на машината освен ИП и МАК ,но със сигурност ще бъде доста полезно от гледна точка - сменям ИП , МАК и вече имам интернета на комшията.Не говорим за ппое и прочие..  :) Поне мен ме вълнува и ще търся решение ,защото наистина ще ми е полезно.Е ако има някой ,който  го интрегува също може да търси алтернатива.Мисля ,че решението ще бъде полезно на всички де.  ;)

Ами и да можеше да се match-ва по хостнейм - сменяш IP, сменяш мак адрес - пак вземаш интернета на комшията. Това защото хостнейма се резолв-ва на адреса, който подмолно си откраднал. Така че файда нулева.

За да се предотвратят такива изпълнения просто се ползват суичове, които имат разни порт секюрити възможности - например "на този порт може да се върже само хост с еди си какъв мак адрес". При това положение като си смениш ИП и мак адреса, дефакто си отрязан от мрежата.

При това положение като си смениш ИП и мак адреса, дефакто си отрязан от мрежата.

Това е почти толкова готино, колкото да се доснеш сам ;D ;D

Пусни си едно pppoe  и си решаваш проблема . Тогава ще имаш IP+mac+password

Пусни си едно pppoe  и си решаваш проблема . Тогава ще имаш IP+mac+password

По-горе споменах ,че не ми върши работа.

Цитат на: gat3way в Jan 10, 2009, 13:50

При това положение като си смениш ИП и мак адреса, дефакто си отрязан от мрежата.

Това е почти толкова готино, колкото да се доснеш сам ;D ;D

Съмнява ме ,но няма значение.Комнет в Бургас го правят това + ИД на ланкартата.Незнам как го извличат ,но мой приятел ми каза за това.Сега още повече съм решен да намеря начин.Има ли такъв ще го отразя веднага тук. :) ;D

Какво значи ID на ланкартата? :)

Какво значи ID на ланкартата? :)

Е как какво? Името на ланкартата ;D
Шефе, я кажи какво търсиш, че не се разбра наистина. Благодаря за отразяването ;)

Аз си мислех че е ID на производителя + някакво псевдо-уникално ID на картата, ама да не говорим глупости, че е забавно светът да е по-сложен отколкото е  :)

И аз така реагирах подяволите.  ;D Дали сериен номер ,дали нещо друго.. ще се разбере. До колкото съм запознат мак адреса си е за това ,но стига наистина станах голословен.  ::)

h7d8,

Аз пак те съветвам да изчетеш скучните материали по въпроса за това що е то ethernet и що е то IPv4. Така ще се лишиш от съмнителното удоволствие да си изграждаш митове :)