Перейти до

Как вырубить неплательшика из сети?


drb

Рекомендованные сообщения

Смотри сам.

Нет доступа к серверу = нет коннекта.

Нет доступа к сети = нет линка в сетевухе.

 

Если первое можно сделать программно, то второе делается физически.

Или программно-физически, если на управляемом свиче отрубить порт.

Ссылка на сообщение
Поделиться на других сайтах

Если сеть небольшая, то можно в центре поставить управляемый свич и на нём запретить связку mac+ip пользователя, в результате он запирается в своём сегменте

Ссылка на сообщение
Поделиться на других сайтах
а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Можно немного поподробнее.

Могу я это сделать, если у меня нет управляемого комутатора и серв просто включен в сеть?

Ссылка на сообщение
Поделиться на других сайтах
а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Если так прописать на сервере то клиент не будет иметь доступа только к серверу а доступ к сети будет иметь. Нужно чтобы клиента не пустило в сеть. Если например у клиента ІР-192.168.0.5 то при включении винда посылает 3 арп-пакета "кто 192.168.0.5" и если никто не ответит то клиента пускает в сеть с ІР-192.168.0.5. Нужно програму которая неплательщикам будет отвечать по арпу ІР занят тогда их не пустит в сеть.

Ссылка на сообщение
Поделиться на других сайтах

90% домашних локальных сетей построены на неуправляемых свичах и если ты реальный :argh: АДМИН сети, то тебе проще всего будет сходить к тому свичу и выдергнуть неплательщика!

Ссылка на сообщение
Поделиться на других сайтах
90% домашних локальных сетей построены на неуправляемых свичах и если ты реальный :argh: АДМИН сети, то тебе проще всего будет сходить к тому свичу и выдергнуть неплательщика!

:) а он потом сразу заплатит и придется снова ити туда и включать. Так выдергивать можно только злобных неплательшиков и отключенных "хацкеров".

Нужна програма чтобы средствами АРП непустить клиента в сеть.

Ссылка на сообщение
Поделиться на других сайтах
а кто отменил arp -s IP_адрес_клиента 00:00:00:00:00:00 ?

и все, клиент даже сети не увидет!

заплатил arp -d IP_адрес_клиента

Если так прописать на сервере то клиент не будет иметь доступа только к серверу а доступ к сети будет иметь. Нужно чтобы клиента не пустило в сеть. Если например у клиента ІР-192.168.0.5 то при включении винда посылает 3 арп-пакета "кто 192.168.0.5" и если никто не ответит то клиента пускает в сеть с ІР-192.168.0.5. Нужно програму которая неплательщикам будет отвечать по арпу ІР занят тогда их не пустит в сеть.

ну ну!

у меня биллинг так отключает пользователей от сети, и еще ни один не смог пролезть, сначала firewall отключает доступ в инет, пара дней есть доступ к серверу статистики и к сети, а потом и это отключаетса...

Ссылка на сообщение
Поделиться на других сайтах

Нет всеже есть вариант, и он работает.

Сначала разкажу принцып действия, на сервере (шлюзе) ипишке юзера который не заплатил делаетца двойник, тоисть получаитца конфликт ип адресов, тоисть юзер не куда ходить не может.

Надеюсь обяснил понятно.(старался изо всех сил)

 

Теперь как ето зделать.

Очень просто

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

И если мак не совпадает с маком юзера, то будет кричать что конфликт ип адресов.

 

P.S. Надеюсь написал все правильно, делали мы ето довольно давно, могу ошибатца, если не заработает то пишыте я посмотрю что не так и скажу что написал не правильно.

Ссылка на сообщение
Поделиться на других сайтах
ну ну!

у меня биллинг так отключает пользователей от сети, и еще ни один не смог пролезть, ...

так можна отключить только от шлюза (у юзера не будет инета) а доступ в сеть будет, будет ганять игры и качать фильмы у других на халяву ))))))) некоторые таким довольствуются месяцами.

Ссылка на сообщение
Поделиться на других сайтах

привязка мака к ИПу действует только для сервера, чтобы кричало, что ИП занят можно просто на серваке алиас поднять, но это ненадежно. Умные свитчи это все что спасает.

ifconfig eth0:0 192.168.1.5

Ссылка на сообщение
Поделиться на других сайтах
Очень просто

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

И если мак не совпадает с маком юзера, то будет кричать что конфликт ип адресов.

2 KVINTA. Вы пишите "И если мак не совпадает с маком юзера..." а где здесь МАС юзера? так можно заблокировать доступ с IP юзера а юзер может поставить другую IP (((((((((((

Нужно блокировать связку IP+MAC хотя и это юзер может легко поменять ((((((((

Ссылка на сообщение
Поделиться на других сайтах
привязка мака к ИПу действует только для сервера, чтобы кричало, что ИП занят можно просто на серваке алиас поднять, но это ненадежно. Умные свитчи это все что спасает.

ifconfig eth0:0 192.168.1.5

Да нет и так как я говорю будет работать. И алиас не надо поднимать.

Но конешно умный свитч ето на все сто надежней.

Ссылка на сообщение
Поделиться на других сайтах

Для средних пользователей забивки типа

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

более менее достаточно.

 

С другой стороны, пользователь может себе поставить мак-адрес 00:00:00:00:00:00.

И нормально )

 

С третьей стороны, пользователь может сменить ип и мак на ип и мак другого юзера и будет иметь сеть в его отсутствие.

 

"Защита" arp -s IP_адрес_клиента 00:00:00:00:00:00 pub, основанная на том, что винда посылает 3 запроса - довольно слабая защита.

*nix плевать хотел на такие ответы =)

 

У меня стоит забивка диапазона /22 командами типа

arp -s IP_адрес_клиента 00:00:00:00:00:00 pub

Только вместо 00:00:00:00:00:00 у меня скриптом генерируются рандомные мак-адреса.

 

Я понимаю, что это можно обойти.

Два пользователя могут себе поставить ип-адреса 1.1.1.1 и 1.1.1.2 и сеть 1.1.1.0/30

Если у обоих будут оси *nix и прямые руки, то их невозможно будет засечь в сети с неуправляемыми свичами.

 

Лично у меня пошли таким путем.

Постепенно все свичи поменяем на недорогие управляемые свичи от Лайтком ( http://lightcom.ru/production/ethernetswitches.asp ).

Там можно отключать порты и привязывать к портам мак-адреса.

И сделаю скрипт, который будет программно отключать/включать порты на свичах.

 

Имхо, это оптимальное решение по цене и надежности.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Господа! года 3 назад, будучи студентом КИМО, и живя в общаге, была сеть примерно на 200 компов, так вот как мы решали подобную проблему(управляемых свичей небыло): есть прога называется netXray она в состоянии перехватить ПАКЕТ нарушителя (независимо от IP и MAC) и отправить его нарушителю тоесть взад в реальном времени. Что происходит в таком случае? Ответ: если исходящий пакет попадает на input сетевухи, то

1)Писиайная виснет и не принимает и не отправляет больше пакетов до системного резета.

2)Интегрированная иногда вешает весь комп.

Вывод: Юзез пару-десять раз попавши в такую ситуацию сам выдернет провод LAN или заплатит!!!

Ссылка на сообщение
Поделиться на других сайтах

netXray? http://www.cinco.com

 

Правда это не убийца локалок, а всего лишь очень advanced анализатор протоколов, очень удобен для сбора статистики, диагностики и оценки производительности сетей.

Сейчас фирма Cinco Networks входит в состав Networks Associates Technology, Inc, которая известна у нас под торговой маркой McAfee.

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...

написал arp -s 10.100.0.13 00:00:00:00:00:00 pub

 

у этого айпи даже сеть пропала, он зашел поменял себе айпи и все видит снова, кроме серваков потомучто там привязка мак с айпи.

 

маки менять не все могут, но как спастить от того чтоб при смене айпишника но с тем же маком сетка всеравно не работала?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...