Mirage 0 Posted 2004-09-28 07:29:26 Share Posted 2004-09-28 07:29:26 Народ, закиньте плиз если у кого есть как настроить сабж. Чтобы сервер не пускал. если айпишник не DHCP выдан. Link to post Share on other sites
XoRe 0 Posted 2004-09-28 08:52:46 Share Posted 2004-09-28 08:52:46 Если есть файл_с_юзерами в формате name|ip|mac ... То можно сделать так: open (USERS, '< файл_с_юзерами') or print "Can't open файл_с_юзерами\n while ($line = <USERS>) { chomp $line; ($user, $ip, $mac) = split(/\|/,$line); $ips{$ip} = $ip; $users{$ip} = $user; $macs{$ip} = $mac; } close (USERS); open (FIRE, "> скрипт =))") or print "Can't open скрипт\n"; printf FIRE "\#!/bin/sh\n\n/usr/sbin/arp -d -a\n"; foreach $i (1..254) { $ip = "num.your.net.".$i; if(exists $ips{$ip}) # Если существует ип { # Смотрим сколько денег на балансе if ($deneg <= 0) { $macs{$ip} = '00:00:00:00:00:00'; } # если без денег, то ту часть убираем)) } else { $macs{$ip} = '00:00:00:00:00:00'; } print FIRE "/usr/sbin/arp -s $ip $macs{$ip} pub\n"; } close (FIRE); потом можно этот "скрипт" выполнять sh скрипт =)) или ещё проще `/usr/sbin/arp -d -a`; foreach $i (1..254) { $ip = "num.your.net.".$i; if(exists $ips{$ip}) # Если существует ип { # Смотрим сколько денег на балансе if ($deneg <= 0) { $macs{$ip} = '00:00:00:00:00:00'; } # если без денег, то ту часть убираем)) } else { $macs{$ip} = '00:00:00:00:00:00'; } `/usr/sbin/arp -s $ip $macs{$ip} pub`"; } Т.е. сразу и лочить =)) P.S. Можно сделать так, чтоб скрипт анализировал конф файл dhcpd. Чтоб не заводить лишний файл. Link to post Share on other sites
nn 7 Posted 2004-09-28 09:27:38 Share Posted 2004-09-28 09:27:38 Если меняют IP, то что мешает поменять и МАС? Писание программ, конечно дело хорошее, но как защита от пропадания денег у пользователей, в данном случае бессмысленна. Link to post Share on other sites
XoRe 0 Posted 2004-09-28 09:48:07 Share Posted 2004-09-28 09:48:07 Поменять МАС не мешает абсолютно ничего. Поэтому я стараюсь уйти с защиты по ip+mac на защиту по паролю. Чего и вам желаю. А скрипт взят из старой статистики. Даже при защите по паролю, дополнительная защита по мак адресу будет не лишней. По крайней мере, это не будет делаться "просто так, прикола ради". Link to post Share on other sites
nn 7 Posted 2004-09-28 11:12:16 Share Posted 2004-09-28 11:12:16 Поменять МАС не мешает абсолютно ничего.Поэтому я стараюсь уйти с защиты по ip+mac на защиту по паролю. Чего и вам желаю. А скрипт взят из старой статистики. Даже при защите по паролю, дополнительная защита по мак адресу будет не лишней. По крайней мере, это не будет делаться "просто так, прикола ради". Это давно реализованно в СТГ, что изобретаем велосипед? Link to post Share on other sites
XoRe 0 Posted 2004-09-28 12:31:47 Share Posted 2004-09-28 12:31:47 Поменять МАС не мешает абсолютно ничего.Поэтому я стараюсь уйти с защиты по ip+mac на защиту по паролю. Чего и вам желаю. А скрипт взят из старой статистики. Даже при защите по паролю, дополнительная защита по мак адресу будет не лишней. По крайней мере, это не будет делаться "просто так, прикола ради". Это давно реализованно в СТГ, что изобретаем велосипед? Я имею в виду лочить ип по маку. Это реализовано в СТГ? В каком билде, если не секрет? Я этого не нашел в stg. Поэтому считаю такую привязку хорошим дополнением к системе. Link to post Share on other sites
nn 7 Posted 2004-09-28 12:44:14 Share Posted 2004-09-28 12:44:14 Поменять МАС не мешает абсолютно ничего.Поэтому я стараюсь уйти с защиты по ip+mac на защиту по паролю. Чего и вам желаю. А скрипт взят из старой статистики. Даже при защите по паролю, дополнительная защита по мак адресу будет не лишней. По крайней мере, это не будет делаться "просто так, прикола ради". Это давно реализованно в СТГ, что изобретаем велосипед? Я имею в виду лочить ип по маку. Это реализовано в СТГ? В каком билде, если не секрет? Я этого не нашел в stg. Поэтому считаю такую привязку хорошим дополнением к системе. Реализованна защита по паролю, а привязка не была реализованна за ненадобностью. Может во второй версии реализует автор, смысла в этом нет. Не хотел я писать об этом, но так и быть, подсказка юным хакерам: Сидит со своим IP хакер, дает команду arp -a Смотрит МАС и IP соседа... Время от времени его пингует... Сосед выключился. Пинга нет. Дальше продолжать рассказ, что делать хакеру? Link to post Share on other sites
Max 0 Posted 2004-09-29 03:18:42 Share Posted 2004-09-29 03:18:42 Смотрит МАС и IP соседа...Время от времени его пингует... Сосед выключился. Пинга нет. Дальше продолжать рассказ, что делать хакеру? От этого умные упровляемые свичи спасут Link to post Share on other sites
XoRe 0 Posted 2004-09-29 12:47:25 Share Posted 2004-09-29 12:47:25 Не хотел я писать об этом, но так и быть, подсказка юным хакерам:Сидит со своим IP хакер, дает команду arp -a Смотрит МАС и IP соседа... Время от времени его пингует... Сосед выключился. Пинга нет. Дальше продолжать рассказ, что делать хакеру? Спасибо, что облегчил жизнь юным хакерам и осложнил жизнь провайдерам =)) Ты хочешь, чтобы все сказали "лочить ип по маку - ненадежно, поэтому мы не будем этого у себя делать"? Это лишняя защита. Согласен, она не помешает хакеру сменить и мак для смены IP. Но простому пользователю, который начитается журнала Хакер и подумает "а на...бу-ка я соседа, сменю ка IP адрес", это остановит. Я думаю, что никто не будет против поставить у себя такую защиту в дополнение к уже имеющийся. Но я согласен с тем, что лучшая защита - свичи с защитой по маку на порт. Link to post Share on other sites
nn 7 Posted 2004-09-29 15:56:16 Share Posted 2004-09-29 15:56:16 Спасибо, что облегчил жизнь юным хакерам и осложнил жизнь провайдерам =))--КУСЬ-- Но я согласен с тем, что лучшая защита - свичи с защитой по маку на порт. Может наоборот спасибо скажешь мне, когда поскорее перейдешь на авторизацию по паролю, может мое сообщение ускорит процесс перехода. Вот насчитает биллинг у какому-ту юзеру лишнего... А с юзером спорить - себе вредить, доказывать ему что-то, что так нельзя делать -- нервы себе портить, все-равно не дойдет. А так поменял, ну не работает, поставил назад. Да и провайдеру спокойней, даже тогда, когда его это не заботит. Хакеры же давно об этом знают, а простой юзер, даже прочитав вышесказанное, вряд-ли сумеет закончить мою мысль... Я думаю, тема исчерпанна. Link to post Share on other sites
den68 0 Posted 2004-10-09 22:22:52 Share Posted 2004-10-09 22:22:52 Сидит со своим IP хакер, дает команду arp -aСмотрит МАС и IP соседа... Время от времени его пингует... Сосед выключился. Пинга нет. Дальше продолжать рассказ, что делать хакеру? Отца русской демократии (nn) спасет установка свитчей с VLAN'ами, например SURECOM 16 port 19", два общих порт, остальные друг друга не видят, и arp -a показывать будет себя и сервер e.t.c ;-) Решить только программно безопасность - НЕВОЗМОЖНО, какой велосипед не изобретай. А привязка по МАКУ полезна, по крайне мере дисциплинирует прицепление к сети уродцами разнообразных девайсов, + DHCP естесно. Link to post Share on other sites
XoRe 0 Posted 2004-10-10 00:01:00 Share Posted 2004-10-10 00:01:00 Во первых. Авторизация ПО ПАРОЛЮ у меня уже давно стоит. Во вторых. Даже с ней не повредит привязка использующихся IP к МАС адресам. А неиспользующиеся IP адреса забить маками 00:00:00:00:00:00. В третьих. Железно ситуацию спасут умные свичи. Ну в четвертых. Если везде 10, 100 и более мегабит, можно попробовать ввести топологию типа "звезда". Когда создается при наличии физической локальной сети, создается абстрактно отдельная сеть на каждого выделенщика, в которой битовой маской количество IP адресов ограничивается четыремя. Это как бы 0 адрес, потом адрес сервера, адрес клиента и широковещательный адрес. Понавешать алиасов на интерфейс на сервере. И можно будет файрволом разруливать разрешения, какому пользователю чего в сети можно видеть. Потому как теперь весь траффик, в том числе и локальный, будет гоняться через сервер =)) Link to post Share on other sites
zulu_gluk 23 Posted 2004-10-16 15:13:59 Share Posted 2004-10-16 15:13:59 Все-таки привязка ип-мак во втором старгейзере не помешала бы... Link to post Share on other sites
Guest Guest Posted 2004-10-16 17:16:56 Share Posted 2004-10-16 17:16:56 Согласен, хотя бы для того что бы всё красиво и удобно правилось через конфигуратор.... Link to post Share on other sites
XoRe 0 Posted 2004-10-18 10:09:15 Share Posted 2004-10-18 10:09:15 Только что доделал привязку маков к ипам. Выкладываю простой вариант, когда клиенты в одной локалке с сервером. Если кому надо более продвинутый вариант( когда сервер в другой локалке) - пишите =)) У меня в карточке пользователя примечания отведены под мак адрес . #!/usr/bin/perl $raw = `grep IP= /var/stargazer/users/*/conf`; @lines = split(/\n/, $raw); foreach $line (@lines) { chomp $line; ($a, $b) = $line =~ /^\/var\/stargazer\/users\/(\w+)\/conf\:IP=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})$/ or next; $ips{$a} = $b; } $raw = `grep Note= /var/stargazer/users/*/conf`; @lines = split(/\n/, $raw); foreach $line (@lines) { chomp $line; ($a, $b) = $line =~ /^\/var\/stargazer\/users\/(\w+)\/conf\:Note=(\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2})$/ or next; next unless(exists $ips{$a}); $arps{$a} = lc $b; } `/usr/sbin/arp -d -a` while(($name) = (each %arps)[0]) { `/usr/sbin/arp -S $ips{$name} $arps{$name} pub`; } Link to post Share on other sites
S_ergey 21 Posted 2004-10-18 15:58:29 Share Posted 2004-10-18 15:58:29 надо более продвинутый вариант( когда сервер в другой локалке) sergey(#)amron.com.ua Link to post Share on other sites
XoRe 0 Posted 2004-10-19 07:55:37 Share Posted 2004-10-19 07:55:37 надо более продвинутый вариант( когда сервер в другой локалке)sergey(#)amron.com.ua А лови =)) Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now