Титла: restricted IP authentication
Публикувано от: sunhater в Apr 29, 2005, 18:07
Възможно ли е по някакъв начин за дадена компютърна мрежа на всеки зададен MAC адрес да отговаря един IP адрес. И никой друг освен притежателят на този MAC адрес да не може да го използва. Аз знам как става с DHCP, но не намерих начин да забраня "присвояването" на IP от "непознат" MAC.
Титла: restricted IP authentication
Публикувано от: VladSun в Apr 29, 2005, 18:11
статична ARP таблица
виж arp -f
виж arp -f
Титла: restricted IP authentication
Публикувано от: sunhater в Apr 29, 2005, 18:13
| Цитат |
| статична ARP таблица |
Това е много добра ключова фраза
. Ще се радвам на по-подробни разяснения и примери. Аз междувременно ще се поровя в гугл.Титла: restricted IP authentication
Публикувано от: в Apr 29, 2005, 21:48
Ако смяташ, че ще решиш проблема с "мошенниците" много се лъшеш!
Първо ако искаш да стане "интелигентно" то си купи един малък Managment Switch - 8 port 3Com е добро решение и е ефтино който ще го сложиш преди твоят Linux Box.
Другият вариант е с "IPtables MAC-IP pair match".
Как става?
Трябва да имаш
"ipt_macmatch"
напиши това ако е като модул:
#modprobe ipt_macmatch max_entries=20000
Ако го нямаш вземаш го от тук:
http://www.firerack.com/downloa.....tar.gz
--------------------------------------------
Вариант 1:
#iptables -N macmatch
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -j macmatch
(..друга FORWARDing политика, протоколи и т.н.)
#iptables -A macmatch -m mac --mac-source 00:11:22:33:44:55 -j RETURN
#iptables -A macmatch -m mac --mac-source 11:22:33:44:55:66 -j RETURN
#iptables -A macmatch -m mac --mac-source 22:33:44:55:66:77 -j RETURN
#iptables -A macmatch -j DROP
(дропим всичко друго което не е в "macmatch")
--------------------------------------------
Вариант 2:
#iptables -A FORWARD -m macmatch --mac --ip -j ACCEPT
Синтаксиса е:
<IP address, MAC address, source interface>
192.168.0.20 00:20:aa:bb:cc:dd eth0
--------------------------------------------
Малко е оплетено като го разгледаш ама ще се оправиш ако не пиши и ще го оправа...
Първо ако искаш да стане "интелигентно" то си купи един малък Managment Switch - 8 port 3Com е добро решение и е ефтино който ще го сложиш преди твоят Linux Box.
Другият вариант е с "IPtables MAC-IP pair match".
Как става?
Трябва да имаш
"ipt_macmatch"
напиши това ако е като модул:
#modprobe ipt_macmatch max_entries=20000
Ако го нямаш вземаш го от тук:
http://www.firerack.com/downloa.....tar.gz
--------------------------------------------
Вариант 1:
#iptables -N macmatch
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -j macmatch
(..друга FORWARDing политика, протоколи и т.н.)
#iptables -A macmatch -m mac --mac-source 00:11:22:33:44:55 -j RETURN
#iptables -A macmatch -m mac --mac-source 11:22:33:44:55:66 -j RETURN
#iptables -A macmatch -m mac --mac-source 22:33:44:55:66:77 -j RETURN
#iptables -A macmatch -j DROP
(дропим всичко друго което не е в "macmatch")
--------------------------------------------
Вариант 2:
#iptables -A FORWARD -m macmatch --mac --ip -j ACCEPT
Синтаксиса е:
<IP address, MAC address, source interface>
192.168.0.20 00:20:aa:bb:cc:dd eth0
--------------------------------------------
Малко е оплетено като го разгледаш ама ще се оправиш ако не пиши и ще го оправа...
Титла: restricted IP authentication
Публикувано от: VladSun в Apr 30, 2005, 00:59
Сорри, pstoianov, ама няма смисъл да товарим с iptables правила, когато решението може да е по-просто - така или иначе ARP таблицата винаги ще я има ...
Относно суичовете - тези, програмируемите, дето прихващат първия мак адрес на порта и се заключват по него до хард рестарт вършат най-добра работа по отношение на ARP/IP spoofing.
Относно суичовете - тези, програмируемите, дето прихващат първия мак адрес на порта и се заключват по него до хард рестарт вършат най-добра работа по отношение на ARP/IP spoofing.
Титла: restricted IP authentication
Публикувано от: в Apr 30, 2005, 19:10
Интернет доставчиците решават проблема като с помоща на proxy_arp сървърчето ти отговаря на вс. arp рекуести със своя MAC. По този начин клиент каквото и IP да си сложи ще му дава грешка освен ако не е конектнат към сървъра с PPPoE например .
Как става на практика обаче незнам
Ако някой има идея да каже ....
Как става на практика обаче незнам
Ако някой има идея да каже ....
Титла: restricted IP authentication
Публикувано от: sunhater в Apr 30, 2005, 20:19
Значи пробвах с arp -f и стана. Единственото, което трябва да се направи предварително е /etc/ethers. Там редовете са със формат:
<IP> <MAC>
После си смених IP-то на клиентската машина, но нямаше никаква връзка с останалите машини.
Не знам колко секюр е това, но всеки с XP може да си смени MAC адреса, стига да знае как .
Това с iptables не разбрах за кое се отнася "Синтаксиса". Но май нема смисъл да дълбая с iptables.
<IP> <MAC>
После си смених IP-то на клиентската машина, но нямаше никаква връзка с останалите машини.
Не знам колко секюр е това, но всеки с XP може да си смени MAC адреса, стига да знае как
.Това с iptables не разбрах за кое се отнася "Синтаксиса". Но май нема смисъл да дълбая с iptables.
Титла: restricted IP authentication
Публикувано от: в Apr 30, 2005, 20:51
Погледни и за arpwatch в гоогле поне да гледаш кой какво сменя и да го набараш навреме )
)