привязка IP-MAC перестала работать

[boroda]

на Linux(2.4.21) крутится самба, есть привязка ip-mac : arp -s IP mac

при выводе arp -a всё ок: ip at mac [ether] on eth0 PERM.

Вся фишка в том,что mac умышленно указал ошибочный(пару цифр поменял) ради проверки, а на сервак клиент вошёл (samba). Что за мистика, в арп-таблице mac неверный стоит, при tcpdump тоже все пакеты уходят на этот неверный mac,а тем не менее юзер работает.И самбу в даун делал, думал в ней трабл, ломился по ssh - всё равно пускает. Хотя заметил, что если с *nix машин заходить всё как надо работает, а с винды вот такой вот трабл получается.

[solovey]

Мне кажется не очень практично, работает как то через пень да и некрасиво. Мне недавно посоветовали привязку сделать в фаере. И мне понравилось! красиво делается и просто!

вот для iptables например:

/sbin/iptables -A INPUT -s $ip_user -m mac --mac-source ! 00:02:B3:8A:D9:E0 -j DROP

если у этого ip не такой мак.... то ))

[SignFinder]

отлично все работает arp рулит

[solovey]

Но мне показалось не очень стабилен этот arp. да и прописывание скриптов чтоб после перезагрузки все проложало работать тоже как то не понравилось.

Мне красивее показался вариант с фаером, но на вкус и цвет товарищей нет ))

[boroda]

solovey писал(а) чт, 03 ноября 2005 09:19

Мне кажется не очень практично, работает как то через пень да и некрасиво. Мне недавно посоветовали привязку сделать в фаере. И мне понравилось! красиво делается и просто! вот для iptables например: /sbin/iptables -A INPUT -s $ip_user -m mac --mac-source ! 00:02:B3:8A:D9:E0 -j DROP если у этого ip не такой мак.... то ))

Вопрос стоит не в выборе метода привязки,а в принципе работы конкретно выбранного метода.

Привязку с iptables я тоже активно использую, только не на самбе,а на роутере и ставить её на самбу не вижу смысла, так как и без фаера на ней загрузка дай боже.

Так у кого какие соображения по поводу выше приведённого мной сабжа.

[solovey]

умолкаю, так как по существу сказать нечего.

[boroda]

Братва ну выручайте чтоли. Замотался искать причину. Заметил ещё что задержка при пингах до клиента, когда в арп таблице неверный мак прописан в 2 раза больше!!!

[SignFinder]

Что выручать то?

у меня arp -f file запускается и привязка делается отлично. если мак не тот ни пинги ничего не идет.

Может арп версию обновить

[solovey]

Я извиняюсь может я опять не в тему, но задержка больше может свич тупит, попробуй выключить его и включить чтоб он таблицу перезаписал. Сорри если не в тему, такой уж я )

[Sleeping Daemon]

Dr.Spectre писал(а) пт, 04 ноября 2005 23:30

Что выручать то? у меня arp -f file запускается и привязка делается отлично. если мак не тот ни пинги ничего не идет. Может арп версию обновить

А если появится "левый" IP с "левым" MAC которых нет в таблице, то тогда как?

[boroda]

Sleeping Daemon писал(а) пн, 07 ноября 2005 10:12

Dr.Spectre писал(а) пт, 04 ноября 2005 23:30 Что выручать то? у меня arp -f file запускается и привязка делается отлично. если мак не тот ни пинги ничего не идет. Может арп версию обновить А если появится "левый" IP с "левым" MAC которых нет в таблице, то тогда как?

чего нет в статической таблице пустит без базара, создав динамическую запись, на то она и привязка - только не в моём случае

[Sleeping Daemon]

boroda писал(а) вт, 08 ноября 2005 21:58

Sleeping Daemon писал(а) пн, 07 ноября 2005 10:12 Dr.Spectre писал(а) пт, 04 ноября 2005 23:30 Что выручать то? у меня arp -f file запускается и привязка делается отлично. если мак не тот ни пинги ничего не идет. Может арп версию обновить А если появится "левый" IP с "левым" MAC которых нет в таблице, то тогда как? чего нет в статической таблице пустит без базара, создав динамическую запись, на то она и привязка - только не в моём случае

Я использую связку arpwatch + swatch

Если смена адреса(mac or ip) или новый адрес добавится - пишется блокировачное правило в iptables.

Правило удаляется в ручную после разборок. Или не удаляется.