kvirtu 315 Posted 2007-04-27 16:19:17 Share Posted 2007-04-27 16:19:17 Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........ Link to post Share on other sites
Iridium 6 Posted 2007-04-27 23:22:06 Share Posted 2007-04-27 23:22:06 Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........ pppoe концентратор должен быть в одной подсети с клиентом (именно потому что он ...over ethernet он и не маршрутизируемый) Иначе - PPTP А вообще port security будет правильнее ) Link to post Share on other sites
kvirtu 315 Posted 2007-04-29 07:52:44 Author Share Posted 2007-04-29 07:52:44 Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........ pppoe концентратор должен быть в одной подсети с клиентом (именно потому что он ...over ethernet он и не маршрутизируемый) Иначе - PPTP А вообще port security будет правильнее ) pptp - позволяет делать привязку тока по IP-адресу, есть еще MPD - но как там сделать привязку IP&MAC - на пользователя ???, пока тока сделал опять же привязку по IP. pory securyty - фукция встроеная в дорогие свичи ..... :-/ И самое главное - есть куча утилит для изменения IP&MAC - на компе у юзвера. Вопрос в том есть ли проги для динамического контроля за изменениями со стороны нерадивого юзвера его IP&MAC ..... Link to post Share on other sites
kvirtu 315 Posted 2007-05-01 17:26:22 Author Share Posted 2007-05-01 17:26:22 эх, опять никто подсказать не может ..... Link to post Share on other sites
Serjio 19 Posted 2007-05-01 20:44:31 Share Posted 2007-05-01 20:44:31 смотря как выглядит панацея а вообще вполне хватает скрипта и файлика со списком ip :: mac список: [serjio@ns2 ~]# cat /etc/ethers 192.168.0.11 00:0c:6e:3f:cd:e5 ==== 192.168.0.20 00:0d:88:82:da:a2 скрипт: [serjio@ns2 ~]# cat /etc/stat.arp #!/bin/sh arp -ad > null I=1 while [ $I -le 254 ] do arp -s 192.168.0.${I} 0:0:0:0:0:0 I=`expr $I + 1` done arp -f /etc/ethers.local Link to post Share on other sites
kvirtu 315 Posted 2007-05-02 05:13:38 Author Share Posted 2007-05-02 05:13:38 спасиб, за ответ, еще маленький вопросик, возможно ли отслеживать на фре такую ситуацию, когда юзвер меняет свой IP&MAC на чей то ...... для доступа в нет ...... Link to post Share on other sites
Serjio 19 Posted 2007-05-02 13:07:55 Share Posted 2007-05-02 13:07:55 можно сделать так что бы arp lookup вообще не работал, и записи в таблицу можно было вносить исключительно с помощью arp. Тогда не придется присваивать нули всем пустым адресам. Делается это так: Добавляем флаг -arp на интерфейс: ifconfig fxp0 -arp и в файле /etc/rc.conf: ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp" Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида: 192.168.1.2 00:80:23:5F:65:8C 192.168.2.3 00:5C:67:9A:55:5B . . . Очищаем arp-кэш и загружаем статическую таблицу: arp -ad arp -f /etc/ether.local и добавляем последнюю команду в /etc/rc.local Теперь на этом интерфейсе arp не работает вообще. То есть не только не принимаются обновления в arp-кэш, но и не отсылаются ответы на запросы arp who-has. А это значит, что и на клиентских машинах необходима статическая запись соответствия ip и MAC-адресов маршрутизатора. На Windows-машинах это делается записью вида: arp -s 192.168.1.1 00-79-36-FC-09-0F В старых версиях FreeBSD поддержки флага -arp для интерфесов не было. Ниже патч к ядру FreeBSD который это делает(возможно подобные патчи существуют и для других ОС). --- if_ether.c.stdThu Sep 10 18:22:48 1998 +++ if_ether.cFri Sep 11 16:53:22 1998 @@ -482,6 +482,7 @@ itaddr = myaddr; goto reply; } +/*VV*/if (!(ac->ac_if.if_flags & IFF_NOARP)) { la = arplookup(isaddr.s_addr, itaddr.s_addr == myaddr.s_addr, 0); if (la && (rt = la->la_rt) && (sdl = SDL(rt->rt_gateway))) { if (sdl->sdl_alen && @@ -501,6 +502,7 @@ la->la_hold = 0; } } +/*VV*/} reply: if (op != ARPOP_REQUEST) { m_freem(m); В этом patch'е блокируется только обновление arp-кэша, ответы на запросы не блокируются, поэтому статические записи на клиентских машинах не требуются. В версиях FreeBSD старше чем 4.9-RELEASE патч не требуется, такая функциональность есть out of box. Просто нужно сконфигурировать интерфейс с флагом staticarp. Способ 2 (дорогой и надежный) Port Security. Необходимо приобрести свитч, который позволяет сделать привязку MAC к конкретному физическому порту в свитче. А на роутере в свою очередь делается статическая привзяка IP к MAC. Обмануть такую защиту практически невозможно. Однако стоят такие свитчи немало.Один из недостатков данного способа - клиенты будут удивляться, почему не работает интернет после смены сетевой карты. ну а там смотри в такие варианты как туннелирование (PPTP или L2TP). Link to post Share on other sites
kvirtu 315 Posted 2007-05-02 17:24:18 Author Share Posted 2007-05-02 17:24:18 спасибо, первый вариант буду реализовывать на практике + на биллинге поставлю MPD с привязкой по МАС Link to post Share on other sites
kvirtu 315 Posted 2007-05-08 07:59:10 Author Share Posted 2007-05-08 07:59:10 Все работает, только вот команда: arp -s 192.168.1.1 00-79-36-FC-09-0F - в винде выполняеться, но при перезагрузке винды, это правило теряеться ..... :-/ , выход писать батик и ставить в автозагрузку винды ...... Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now