Борьба с нелегальными подключениями

[Nab 0]

Ну в принципе да, но большинство домашних локалок бесплатны внутри, а на каждый популярный ресурс можно свою авторизацию сделать, или если правильно поработать ручками, то всю авторизацию из одного места брать прозрачно, по адресу пускать или не пускать, а по шаре пусть лазит, учиться

 

Ну эт конечно может я и загнул но если людям в локалке объяснить что если они де платили там за подключение и т.д. а тут халявщики лезут, и для пресечения этого можно воспользоваться таким-то способом, то я думаю мож че и получиться

Или я не ощущаю всей остроты ситуации и реалий домашних сетей?

[Richman 0]

  XoRe сказав:

2indigo:

configure: error: "Sorry, build is only supported for GNU/Linux"

Потому и не компилится

А почему бы под такие нужды не собрать какой то тазик за 150 грн с 200 мегагерцами проца, 32 метрами мозгов, и винтом на 1 гиг. И не втулить туда linux, dhcp, arp, iptables и эту софтину для контроля несанкционированного доступа ????

В теории имхо не очень сложное мероприятие.

[Nab 0]

Ой

[XoRe 0]

2Richman: возможно.

[drb 0]

На packetstormsecurity.org есть прога arptool (сборка поддельных и некоректных arp-пакетов)

1. Чтобы найти нелегала посылаеш широковещательный арп-запрос на 0.0.0.0 FF:FF:FF:FF:FF:FF (опция проги -м) комп нелегала ответит.

2. Чтобы отрубить нелегала посылаеш arp tell <ip-нелегала> FF:FF:FF:FF:FF:FF 0.0.0.0 00:00:00:00:00:00 и его комп вылетит из сети на 20 сек (обновление кеша АРП) делаеш скрипт и посылаеш каждые 20 сек.

[Garik 51]

  indigo сказав:

2 qarik Чтоб это работало надо чтоб сети были по разные стороны шлюза.

Пример такой : есть сеть 192,168,152,0/24 есть сервант 152,1 и есть шлюз в сеть 192,168,130,0/24 - 192,168,152,2 . все настроены на шлюз 152,1 там стоит прога . Прога хватает пакеты адресованые в 130-ю сеть и ставит туда мак от 192,168,152,2. Сль-но за 130-м диапазоном 152-й пойдет в шлюз 152,2 , не смотря на то, что этот шлюз на клиентах не прописан.

пробую-пробую не получается

подкиньте пример конфига, и ключей с которыми следует запускать программу, пожалуйста.

 

P.S. по прямому назначению использую программу ip-sentinel давно и вполне успешно.

Перенаправить пользователей на шлюз отличный от дефолтового необходимость возникла только сейчас. Ничего не выходит.

Помогите советом плз, очень нужно.

[masters 126]

  garik сказав:

Перенаправить пользователей на шлюз отличный от дефолтового необходимость возникла только сейчас. Ничего не выходит.

Помогите советом плз, очень нужно.

Есть специальные проги, которые проверяют по своей базе соответствия MAC и IP адресов и блочат юзера, если появляется несоответствие. Можно закрыть доступ юзерам к локалке даже без управляемых свичей

 

Насчет - прописать юзерам шлюз отличный от дефолтного, можно скрипт всем раздать в автозагрузку, типа route add... Хотя это не вариант!

Я недавно узнал, что dhcp сервер умеет выдавать не только основной шлюз, но и маршруты. Правда делается это очень по хитрому!!!

У меня заработало, у юзеров главный шлюз выдается на инет и 2 шлюза на другие сети.

 

Стучись мне в ПМ, пиши маршруты в формате: подсеть/маска, шлюз. Я тебе сгенирирую строчки конфига для dhcpd!

[Garik 51]

  masters сказав:

Насчет - прописать юзерам шлюз отличный от дефолтного, можно скрипт всем раздать в автозагрузку, типа route add... Хотя это не вариант!

Я недавно узнал, что dhcp сервер умеет выдавать не только основной шлюз, но и маршруты. Правда делается это очень по хитрому!!!

У меня заработало, у юзеров главный шлюз выдается на инет и 2 шлюза на другие сети.

 

Стучись мне в ПМ, пиши маршруты в формате: подсеть/маска, шлюз. Я тебе сгенирирую строчки конфига для dhcpd!

Я хочу уйти от необходимости раздавать юзерам скрипты с route add.

Вариант с dhcp не подходит. Где гарантия что никто из юзеров не поставит себе win 2000/2003 server например и не начнет раздавать по дшсп левые айпи/шлюзы и т.д?

Интересует решение вопроса средствами ip-sentinel. Кто владеет вопросом дайте пример конфига/ключей запуска, пожалуйста.

[Yaroslav 0]

Да, меня тоже интересует.

Теорию понял, но на практике не выходит.

 

К примеру возьмём так:

 

основной шюз 192.168.1.1

шлюз на соседнюю подсеть 192.168.1.2

его мак 00:11:22:33:44:55

 

в соседней подсети адреса 192.168.2.0/24

 

по идее на 192.168.1.1 нужно сделать

arp -s 192.168.2.1 00:11:22:33:44:55 pub

arp -s 192.168.2.2 00:11:22:33:44:55 pub

 

и так для каждого адреса. Если я, конечно, правильно понял.

 

Но не получается:

#arp -s 192.168.2.1 00:11:22:33:44:55 pub

SIOCSARP: Нет такого устройства

 

#arp -s 192.168.2.1 00:11:22:33:44:55

SIOCSARP: Сеть недоступна

 

Что я делаю не так?

FC5 ядро 2,6

[XoRe 0]

2Yaroslav:

Он ругается потому что 192.168.2.1 не находится в одной сетке с ни с одним из интерфейсов данной машины.

Если так хоччеццо извращаццо, расширь маску на интерфейсе, у которого адрес 192.168.1.1.

 

Хотя я бы посоветовал на 192.168.1.1 сделать:

route add 192.168.2.0/24 192.168.1.2

И он будет перенаправлять туда траффик от всех компов сети 192.168.1.0/24.

[masters 126]

  garik сказав:

Я хочу уйти от необходимости раздавать юзерам скрипты с route add.

Вариант с dhcp не подходит. Где гарантия что никто из юзеров не поставит себе win 2000/2003 server например и не начнет раздавать по дшсп левые айпи/шлюзы и т.д?

Интересует решение вопроса средствами ip-sentinel. Кто владеет вопросом дайте пример конфига/ключей запуска, пожалуйста.

Когда кто-то ставит себе dhcp сервер - сразу видно IP, который выдает адреса! Следовательно - отключение юзера от сети без возврата абонплаты, нарушение пункта договора: 3.9 Умышленное создание препятствий в работе сети.

Помогает на раз, проверено

 

А что тебе мешает на дефолтном шлюзе настроить маршруты на другие шлюзы?