jewrt Опубликовано 12 мая, 2006 Жалоба Опубликовано 12 мая, 2006 Есть DHCP сервер, раздающий адреса только по МАКу. Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте? Цитата
Ineu Опубликовано 12 мая, 2006 Жалоба Опубликовано 12 мая, 2006 jewrt писал(а) Птн, 12 Мая 2006 07:47 Есть DHCP сервер, раздающий адреса только по МАКу. Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте? В простейшем случае, когда машины объединены в сеть примитивными свичами - нельзя. В общем случае - все зависит от структуры сети. ЗЫ. На худой конец, можно пытаться глушить несанкционированно появивишуюся в сети машину ARP-спуфом, но в собственной сети этого делать не стоит Цитата
SignFinder Опубликовано 12 мая, 2006 Жалоба Опубликовано 12 мая, 2006 можно с помощью arp -f сделать привязку ip-mac и запретить доступ к серверу всем кроме разрешенных адресов. Цитата
jewrt Опубликовано 12 мая, 2006 Автор Жалоба Опубликовано 12 мая, 2006 а что мне даст arp -f??? запишу я файл пары ip MAC... а что дальше? (спрашиваю потому что не знаю) Цитата
SignFinder Опубликовано 12 мая, 2006 Жалоба Опубликовано 12 мая, 2006 Цитата: а что мне даст arp -f??? не даст подключиться к серверу с Ip отличным от прописанного в связке ip-mac Цитата
Hans R. Steiner Опубликовано 12 мая, 2006 Жалоба Опубликовано 12 мая, 2006 Если вопрос стоит именно о запрете установки статических IP- адресов то, можно извратиться: разбирать в пакеты и фиксировать те, в которых говорится о успешном присвоении IP-адреса, далее, скриптом помещать в mangle правило типа -s $IP -j MARK --set-mark $MARK, а в filters, что-то вроде -m mark --mark $MARK -j ACCEPT... Сам такого не делал... мои эксперементы с маркерами начались и закончились на маркировке пакетов для tc и заворачивание некоторых IP куда-нибудь --- Так же, можно отслеживать события в /var/log/messages, содержащие DHCPOFFER и DHCPRELEASE и на основании этого, выполнять аналогичные действия Цитата
Ineu Опубликовано 13 мая, 2006 Жалоба Опубликовано 13 мая, 2006 Можно отлавливать пакеты при помощи какого-нибудь pcap-фильтра или тем же iptables складывать все в лог, а потом проверять адреса на наличие в /var/lib/dhpcd/dhcpd.leases (или другой, в зависимости от Вашего dhcp-демона). Цитата
Hans R. Steiner Опубликовано 13 мая, 2006 Жалоба Опубликовано 13 мая, 2006 Нет, отлавливать пакеты и класть в лог - это не интересно... iptables позволяет пропускать пакеты через скрипты (правда, лично я этого не пробывал) и это идет в режиме реалтайм, а складывать влог анализ пакетов и после анализировать этот лог безсмисленно так, как лог DHCP и так есть... достаточно просто отслеживать /var/log/messages Цитата
jewrt Опубликовано 13 мая, 2006 Автор Жалоба Опубликовано 13 мая, 2006 Попался мне под руку пакет arptables... Почитав немного, понял что в принципе можно закрыть и через него. Как считают мои уважаемые собеседники? Цитата
Hans R. Steiner Опубликовано 13 мая, 2006 Жалоба Опубликовано 13 мая, 2006 Бегло прочитал, что говорит о arptables google... Судя по всему, arptables - это просто надстройка (а то и просто интерфейс) к iptables. Как мне кажется, использовать подобные надстройки, в том случае, если они не расширяют возможности iptables, нет смысла. А вообще, по сути, это просто реализация с помощью iptables того, что обычно, делают при помощи arp. в любом случае, надо придумывать что-то, что будет делать что-то, когда человек получает IP Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.