Как вычислить кто перебирает MAC-адреса.

[sfc 17]

все это уже человеку было описано.

[sfc 17]

кстати, и гонец совсем не обязателен. все можно сделать одному! 

[kvirtu 315]

Ребят, я тут немного всех ввел в заблуждение

 

В конфиге DHCP две подсети для легальных 10.х.х.х и 172.16.2.х - для нелегалов

Все нелегалы, чьих MAC-ов нет в базе попадают в сеть 172.16.2.х

Также установлен:  dhсdrop  -i fxpo -l MAC fxp0 , который и дропает подсеть 172.16.2.х

Сорри

Відредаговано 2013-03-21 17:16:22 kvirtu

[sfc 17]

зато сколько советов сразу! не в одном институте такому не научат! 

[Гайджин 574]

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

[sfc 17]

ну, перемутил малость человек. может ему так нравится...

 

если есть неуправляемый коммутатор, то сеть на его основе для внутренних подключений абсолютно открыта. здесь не помогут никакие dhcp, радиусы и прочее. помочь может только одно - затык порта. но Квирту это, естественно, пока не подвластно.

[Гайджин 574]

И я не говорил что 100% панацея но от "кулхацкеров" помогает )

Ну тут не то что про 100% говорить не стоит - это вообще технология основанная на авось.

Т.е. есть офигенная масса случаев когда с этой софтиной не повезет.

А если предпринять мало мальские шаги по сокрытию своих действий, то вообще никогда не повезет.

[kvirtu 315]

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

[onorua 126]

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

Может я не понял о чем вы говорите, так как с настройкой винды сталкивался пару лет назад, но как привязка MAC-IP  поможет в данном конкретном случае предотвратить раздачу интернета? С помощью этой галочки, винда разве не превращается в маршрутизатор? А за маршрутизатором 2й уровень OSI  точно не виден. 

Все что вам нужно сделать чтоб предотвратить раздачу интернета:

1. Убрать возможность одновременных подключений на биллинге. 

2. Обрезать сессии по 80-му порту до какого-то определенного предела, вычисленного эмпирически чтоб было достаточно для 2х ПК. 

[kvirtu 315]

 

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

Может я не понял о чем вы говорите, так как с настройкой винды сталкивался пару лет назад, но как привязка MAC-IP  поможет в данном конкретном случае предотвратить раздачу интернета? С помощью этой галочки, винда разве не превращается в маршрутизатор? А за маршрутизатором 2й уровень OSI  точно не виден. 

Если не контролировать выдачу IP-адресов в локалке, то при установке галочки меняется айпишник у раздающего вроде на 192.168.128.1 , а при контроле  IP+MAC это не получиться

[Земеля 725]

раздачу интернета на лево, исходящих трафик 1 мегабит сделай. и раздач уже не будет 

[logic 521]

а точнее на 192,168,0,1

[bos 39]

у меня другое предложение, дайте нелегалам инету немного типа 64к все заворачиваете в проксю или.... обычно народ тупой - открыл браузер зашел на свою страницу в конташле. дальше продолжать? ))

[Гайджин 574]

Если не контролировать выдачу IP-адресов в локалке, то при установке галочки меняется айпишник у раздающего вроде на 192.168.128.1 , а при контроле IP+MAC это не получиться

 

Т.е. рука-лицо...

 

p.s. Ну не смог я сдержаться. Сейчас немного в себя приду, от испытанного шока, и продолжим.

[sfc 17]

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

так, а в чем проблема то? пусть "раздает" сколько ему влезет. у вас же радиус стоит! ставьте счетчик трафика и выставляйте счет за внешний трафик. один раз заплатит вам за всю толпу из своей раздачи - не будет столь щедрым.

 

п.с. извините, но пытаться что-то предотвратить программно-аппаратными методами в данном случае для вас же неблагодарное дело. нервы вы портите только себе, а "хацкерам" даете только почву для их рукоблудий. поступите умнее - ударьте по их кошельку. применяйте  программные средства в комплекте с финансовым воздействием. поверьте - удар по кошельку остепенит гораздо быстрее, чем закрывание портов, урезание скоростей и т.п.

 

сделайте для пользователей простое правило: хочешь потреблять больше трафика - пожалуйста, плати и летай!

Відредаговано 2013-03-22 09:53:24 sfc

[kvirtu 315]

 

Если не контролировать выдачу IP-адресов в локалке, то при установке галочки меняется айпишник у раздающего вроде на 192.168.128.1 , а при контроле IP+MAC это не получиться

 

Т.е. рука-лицо...

 

p.s. Ну не смог я сдержаться. Сейчас немного в себя приду, от испытанного шока, и продолжим.

Можно подумать, ты родился и уже все знал: как жить, что делать ........

ПЫСЫ: не ошибается тот, кто ничего не делает

Відредаговано 2013-03-22 09:56:30 kvirtu

[sfc 17]

пример возможной тарифной системы.

доступ к лок. сети общаги - 20 грн/мес

доступ к сети интернет с трафиком до 1 Гб/мес - 52 грн/мес

доступ к сети интернет при трафике более 1 Гб - 10 коп/Мб

 

цены так, "от фонаря", лишь бы было понятно.

 

думаю, что для простого студента в целях поиска информации по учебы  хватит в месяц трафика условно в 1 Гб. при цене в месяц 52 грн, цена 1 мб будет около 5 коп. все, что превышает условно-достаточный трафик - оплата в двойном размере!

 

как-то так. а дальше ваши вариации, ну и скалькулируйте разумную цену для ваших конкретных условий.

[sfc 17]

ПЫСЫ: не ошибается тот, кто ничего не делает

 

все правильно. вы не расстраивайтесь. фильтруйте здешнюю писанину в ваш адрес. не обращайте внимание на дерзкие высказывания, а черпайте для себя именно полезное и все у вас получится!

[kvirtu 315]

 

ПЫСЫ: не ошибается тот, кто ничего не делает

 

все правильно. вы не расстраивайтесь. фильтруйте здешнюю писанину в ваш адрес. не обращайте внимание на дерзкие высказывания, а черпайте для себя именно полезное и все у вас получится!

СПС), Я и не расстраивался ))),

вот как-то так получается:

просто есть категория людей, которые думают , что все знают и делают все правильно, а если кто-то знает, чего знают они - то не люди уже ......

[NiTr0 584]

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

И как от этого защитит ваш дхцп сервер? Открою тайну - если клиент пропишет ип/шлюз статикой, шара будет прекрасно работать...

 

 

 

 

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

Может я не понял о чем вы говорите, так как с настройкой винды сталкивался пару лет назад, но как привязка MAC-IP  поможет в данном конкретном случае предотвратить раздачу интернета? С помощью этой галочки, винда разве не превращается в маршрутизатор? А за маршрутизатором 2й уровень OSI  точно не виден. 

Если не контролировать выдачу IP-адресов в локалке, то при установке галочки меняется айпишник у раздающего вроде на 192.168.128.1 , а при контроле  IP+MAC это не получиться

И при контроле меняется ип прекрасно. И у абона остается только пппое туннель до инета, а локалка на л2 создается своя, по вашей сети. И ничего вы с этим не сделаете. Только сегментировать сеть управляемым железом на изолированные небольшие сегменты, и тянуть их вланами в ядро. А то, что сейчас вы имеете - называется в народе помойкой Пока абонентов 50-100 - еще полбеды, по мере роста же внезапно наступает горе в королевстве...

[kvirtu 315]

 

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

И как от этого защитит ваш дхцп сервер? Открою тайну - если клиент пропишет ип/шлюз статикой, шара будет прекрасно работать...

 

 

> 

 

 

Я че то не пойму - если для доступа в интернет используется pppoe, то нахрена эти пируэты с dhcp с двумя пулами и ривязками? Вы что человека пытаетесь в несущую сеть на тупом железе не пустить что ли?

Конечно управляемые свичи рулят, НО

Сеть пока Неуправляемая, к примеру: один из абонов захотел другому расшарить свое подключение: в настройках ПППОЕ-соединения ставить галочку: Разрешить другим пользователям ....., Дальше подключаеться к инету и уже сам-раздает инет по DHCP

 

Может я не понял о чем вы говорите, так как с настройкой винды сталкивался пару лет назад, но как привязка MAC-IP  поможет в данном конкретном случае предотвратить раздачу интернета? С помощью этой галочки, винда разве не превращается в маршрутизатор? А за маршрутизатором 2й уровень OSI  точно не виден. 

Если не контролировать выдачу IP-адресов в локалке, то при установке галочки меняется айпишник у раздающего вроде на 192.168.128.1 , а при контроле  IP+MAC это не получиться

И при контроле меняется ип прекрасно. И у абона остается только пппое туннель до инета, а локалка на л2 создается своя, по вашей сети. И ничего вы с этим не сделаете. Только сегментировать сеть управляемым железом на изолированные небольшие сегменты, и тянуть их вланами в ядро. А то, что сейчас вы имеете - называется в народе помойкой Пока абонентов 50-100 - еще полбеды, по мере роста же внезапно наступает горе в королевстве...

 

Если пропишет руцями все равно не выйдет - его сетевой  адрес не пропишется (ipguard от этого защищает)

Спасибо за критику, согласен что сеть НЕ совершенна , буду тянуть отдельный кабель с каждого тупого свича в ядро на Л2 умняк

[Гайджин 574]

Можно подумать, ты родился и уже все знал: как жить, что делать ........

• Любезный, мы с Вами лично не знакомы и на брудершафт не пили - поэтому все же "Вы".
• Когда я родился то уже знал как жить и что для этого необходимо дышать, питаться, выделять экскременты, поглощать и усваивать информацию из окружающей среды - все это было заложено в меня генетически и работало на уровне рефлексов. Именно эти основные инстинкты + воспитание и дало возможность в дальнейшем определиться - что делать.
• Ни я, ни Вы не первый день на этом форме, при этом Вы достаточно активны, поэтому у меня было время присмотреться к Вашим сообщениям. И если честно, то я считал что Ваш профессиональный уровень в администрировании и качественный уровень построения Ваших сетей значительно выше того, что Вы продемонстрировали сегодня. Именно по этому я испытал своего рода шок, о чем честно написал. При этом я не ставил перед собой задачу над Вами по глумиться - я прямо сказал что не смог сдержаться от переполняющих меня эмоций, но собираюсь взять себя в руки и продолжить разговор в конструктивном ключе.

ПЫСЫ: не ошибается тот, кто ничего не делает

С данным высказыванием я бы поспорил - у меня есть минимум один железный аргумент который эту фразу в ноль раскатает.

 

Ну да ладно - давайте вернем к "Вашим баранам". При этом я предлагаю Вам подойти к интересующему Вас вопросу не с конца, а с начала - можно сказать от истоков. Ведь по сути всегда первична зада, а методы ее решения это уже следствия. Для этого нужно сначала определиться с целями, потом определить задачи, а уже потом найти методы их решения.

Я вижу, что Вы сами внятно изложить это не можете (из Вас тянут в час по чайной ложке), поэтому давайте я попробую изложить это сам (базируясь на той информации что тут уже была), а Вы меня поправите и дополните, в случае необходимости. После этого мы коллективным разумом попробуй найти эти самые методы решения и определимся что решений нет.

 

Цель:

Получение максимального финансового вознаграждение за предоставление услуг доступа к локальной сети и сети Интернет в студенческом общежитии при минимальных вложения первоначальных средств.

Задачи:

• Создать концепт-проект направленный на реализацию намеченных целей - просто для себя на бумажке.
• Определиться и решить организационно-правовые и кадровые вопросы связанные с назревающей деятельностью и приступить к реализации концепт-проекта.
• Подвести канал связи к интересующему общежитию - аплинк.
• Построить локальную сеть, максимально быстро и дешево (медная сеть эзернет, топология звезда/дерево, не управляемое активное оборудование), для обеспечения предоставления услуг доступа к локальной сети и сети Интернет.

  Предоставлять доступ к локальной сети и сети Интернет хочется на платной основе, раздельно. Т.е. за доступ к локальной сети своя плата, за Интернет воя (или пакетом)

• Создать программно-аппаратный комплекс для формирования услуги доступа к сети Интернет - BRAS/BSR (Soft router or etc).
• Разработать маркетинговую стратегию и тарифную политику, для продвижении услуг на рынке.

  При этом в настоящее время тарификация по трафику в сетях подобного класса практически нонсенс - поэтому тарифы планируются безлимитные.

• Создать/приобрести/скоммуниздить программный комплекс для учета и тарификации услуг - биллинг.
• Определиться с методами взимания платы за услуги.
• Собрать это все до кучи и попытаться взлететь.

Ну и на этой лирической ноте разрешите прерваться, ибо надо и поработать. - Предлагаю вернуться к обсуждению методов решения поставленных задач несколько позже, т.е после правок и уточнений господина kvirtu. В рамках данной темы предлагаю обсудить только задачи  4,5,6,7. Если это вообще нужно. Відредаговано 2013-03-22 11:36:01 Гайджин

[sfc 17]

... буду тянуть отдельный кабель с каждого тупого свича в ядро на Л2 умняк

 

это, конечно, правильное решение.

 

и все же, я остаюсь при своем мнении, что это нисколько не оградит вас о "нелегальной" раздачи. я так думаю, что вам будет гораздо проще ввести гибкую тарификацию. пусть раздают сколько им влезет, лишь бы за весь общий трафик (свой+раздаваемый) абоненты вам оплачивали с полна!

[kvirtu 315]

 

Можно подумать, ты родился и уже все знал: как жить, что делать ........

• Любезный, мы с Вами лично не знакомы и на брудершафт не пили - поэтому все же "Вы".
• Когда я родился то уже знал как жить и что для этого необходимо дышать, питаться, выделять экскременты, поглощать и усваивать информацию из окружающей среды - все это было заложено в меня генетически и работало на уровне рефлексов. Именно эти основные инстинкты + воспитание и дало возможность в дальнейшем определиться - что делать.
• Ни я, ни Вы не первый день на этом форме, при этом Вы достаточно активны, поэтому у меня было время присмотреться к Вашим сообщениям. И если честно, то я считал что Ваш профессиональный уровень в администрировании и качественный уровень построения Ваших сетей значительно выше того, что Вы продемонстрировали сегодня. Именно по этому я испытал своего рода шок, о чем честно написал. При этом я не ставил перед собой задачу над Вами по глумиться - я прямо сказал что не смог сдержаться от переполняющих меня эмоций, но собираюсь взять себя в руки и продолжить разговор в конструктивном ключе.

>ПЫСЫ: не ошибается тот, кто ничего не делает

С данным высказыванием я бы поспорил - у меня есть минимум один железный аргумент который эту фразу в ноль раскатает.

 

Ну да ладно - давайте вернем к "Вашим баранам". При этом я предлагаю Вам подойти к интересующему Вас вопросу не с конца, а с начала - можно сказать от истоков. Ведь по сути всегда первична зада, а методы ее решения это уже следствия. Для этого нужно сначала определиться с целями, потом определить задачи, а уже потом найти методы их решения.

Я вижу, что Вы сами внятно изложить это не можете (из Вас тянут в час по чайной ложке), поэтому давайте я попробую изложить это сам (базируясь на той информации что тут уже была), а Вы меня поправите и дополните, в случае необходимости. После этого мы коллективным разумом попробуй найти эти самые методы решения и определимся что решений нет.

 

Цель:

Получение максимального финансового вознаграждение за предоставление услуг доступа к локальной сети и сети Интернет в студенческом общежитии при минимальных вложения первоначальных средств.

Задачи:

•  
• Создать концепт-проект направленный на реализацию намеченных целей - просто для себя на бумажке.
• Определиться и решить организационно-правовые и кадровые вопросы связанные с назревающей деятельностью и приступить к реализации концепт-проекта.
• Подвести канал связи к интересующему общежитию - аплинк.
• Построить локальную сеть, максимально быстро и дешево (медная сеть эзернет, топология звезда/дерево, не управляемое активное оборудование), для обеспечения предоставления услуг доступа к локальной сети и сети Интернет.

  Предоставлять доступ к локальной сети и сети Интернет хочется на платной основе, раздельно. Т.е. за доступ к локальной сети своя плата, за Интернет воя (или пакетом)

• Создать программно-аппаратный комплекс для формирования услуги доступа к сети Интернет - BRAS/BSR (Soft router or etc).
• Разработать маркетинговую стратегию и тарифную политику, для продвижении услуг на рынке.

  При этом в настоящее время тарификация по трафику в сетях подобного класса практически нонсенс - поэтому тарифы планируются безлимитные.

• Создать/приобрести/скоммуниздить программный комплекс для учета и тарификации услуг - биллинг.
• Определиться с методами взимания платы за услуги.
• Собрать это все до кучи и попытаться взлететь.

Ну и на этой лирической ноте разрешите прерваться, ибо надо и поработать. - Предлагаю вернуться к обсуждению методов решения поставленных задач несколько позже, т.е после правок и уточнений господина kvirtu. В рамках данной темы предлагаю обсудить только задачи  4,5,6,7. Если это вообще нужно.

 

Я уважаю каждое адекватное мнение всех участников данного форума, в том числе и Ваши (адекватные)

по Вашим пунктам - все  сделано и работает.

[Гайджин 574]

Если пропишет руцями все равно не выйдет - его сетевой  адрес не пропишется (ipguard от этого защищает)

 

 

ipguard listens network for ARP packets. All permitted MAC/IP pairs listed in 'ethers' file. If it recieves one with MAC/IP pair, which is not listed in 'ethers' file, it will send ARP reply with configured fake address. This will prevent not permitted host to work properly in this ethernet segment.

Если хватило ума перейти на статические ip то конечно же хватит ума на то что бы перейти и на статические arp.