jewrt Опубликовано 12 мая, 2006 Жалоба Поделиться Опубликовано 12 мая, 2006 Есть DHCP сервер, раздающий адреса только по МАКу. Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 12 мая, 2006 Жалоба Поделиться Опубликовано 12 мая, 2006 jewrt писал(а) Птн, 12 Мая 2006 07:47 Есть DHCP сервер, раздающий адреса только по МАКу. Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте? В простейшем случае, когда машины объединены в сеть примитивными свичами - нельзя. В общем случае - все зависит от структуры сети. ЗЫ. На худой конец, можно пытаться глушить несанкционированно появивишуюся в сети машину ARP-спуфом, но в собственной сети этого делать не стоит Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 12 мая, 2006 Жалоба Поделиться Опубликовано 12 мая, 2006 можно с помощью arp -f сделать привязку ip-mac и запретить доступ к серверу всем кроме разрешенных адресов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jewrt Опубликовано 12 мая, 2006 Автор Жалоба Поделиться Опубликовано 12 мая, 2006 а что мне даст arp -f??? запишу я файл пары ip MAC... а что дальше? (спрашиваю потому что не знаю) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 12 мая, 2006 Жалоба Поделиться Опубликовано 12 мая, 2006 Цитата: а что мне даст arp -f??? не даст подключиться к серверу с Ip отличным от прописанного в связке ip-mac Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hans R. Steiner Опубликовано 12 мая, 2006 Жалоба Поделиться Опубликовано 12 мая, 2006 Если вопрос стоит именно о запрете установки статических IP- адресов то, можно извратиться: разбирать в пакеты и фиксировать те, в которых говорится о успешном присвоении IP-адреса, далее, скриптом помещать в mangle правило типа -s $IP -j MARK --set-mark $MARK, а в filters, что-то вроде -m mark --mark $MARK -j ACCEPT... Сам такого не делал... мои эксперементы с маркерами начались и закончились на маркировке пакетов для tc и заворачивание некоторых IP куда-нибудь --- Так же, можно отслеживать события в /var/log/messages, содержащие DHCPOFFER и DHCPRELEASE и на основании этого, выполнять аналогичные действия Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 13 мая, 2006 Жалоба Поделиться Опубликовано 13 мая, 2006 Можно отлавливать пакеты при помощи какого-нибудь pcap-фильтра или тем же iptables складывать все в лог, а потом проверять адреса на наличие в /var/lib/dhpcd/dhcpd.leases (или другой, в зависимости от Вашего dhcp-демона). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hans R. Steiner Опубликовано 13 мая, 2006 Жалоба Поделиться Опубликовано 13 мая, 2006 Нет, отлавливать пакеты и класть в лог - это не интересно... iptables позволяет пропускать пакеты через скрипты (правда, лично я этого не пробывал) и это идет в режиме реалтайм, а складывать влог анализ пакетов и после анализировать этот лог безсмисленно так, как лог DHCP и так есть... достаточно просто отслеживать /var/log/messages Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jewrt Опубликовано 13 мая, 2006 Автор Жалоба Поделиться Опубликовано 13 мая, 2006 Попался мне под руку пакет arptables... Почитав немного, понял что в принципе можно закрыть и через него. Как считают мои уважаемые собеседники? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hans R. Steiner Опубликовано 13 мая, 2006 Жалоба Поделиться Опубликовано 13 мая, 2006 Бегло прочитал, что говорит о arptables google... Судя по всему, arptables - это просто надстройка (а то и просто интерфейс) к iptables. Как мне кажется, использовать подобные надстройки, в том случае, если они не расширяют возможности iptables, нет смысла. А вообще, по сути, это просто реализация с помощью iptables того, что обычно, делают при помощи arp. в любом случае, надо придумывать что-то, что будет делать что-то, когда человек получает IP Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.