Контроль Ip&mac.

[kvirtu 315]

Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........

[Iridium 6]

Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........

pppoe концентратор должен быть в одной подсети с клиентом (именно потому что он ...over ethernet он и не маршрутизируемый)

 

Иначе - PPTP

 

А вообще port security будет правильнее )

[kvirtu 315]

Подскажите, кто и как контролирует (пытаеться) у себя в сетках, ведь просто статическая прописка IP&MAC  юзвера - не есть панацея ....... :-/ , читал что вроде pppoe, но pppoe работает тока в одной подсети ........

pppoe концентратор должен быть в одной подсети с клиентом (именно потому что он ...over ethernet он и не маршрутизируемый)

 

Иначе - PPTP

 

А вообще port security будет правильнее )

pptp - позволяет делать привязку тока по IP-адресу, есть еще MPD - но как там сделать привязку IP&MAC - на пользователя ???, пока тока сделал опять же привязку по IP.

pory securyty - фукция встроеная в дорогие свичи ..... :-/

И самое главное - есть куча утилит для изменения IP&MAC - на компе у юзвера.

Вопрос в том есть ли проги для динамического контроля за изменениями со стороны нерадивого юзвера его IP&MAC .....

[kvirtu 315]

эх, опять никто подсказать не может .....

[Serjio 19]

смотря как выглядит панацея

 

а вообще вполне хватает скрипта и файлика со списком ip :: mac

 

список:

[serjio@ns2 ~]# cat /etc/ethers

192.168.0.11 00:0c:6e:3f:cd:e5
====
192.168.0.20 00:0d:88:82:da:a2 

 

скрипт:

[serjio@ns2 ~]# cat /etc/stat.arp

#!/bin/sh

        arp -ad > null
        I=1
        while [ $I -le 254 ]
        do
              arp -s 192.168.0.${I} 0:0:0:0:0:0
              I=`expr $I + 1`
        done
        arp -f   /etc/ethers.local

[kvirtu 315]

спасиб, за ответ, еще маленький вопросик, возможно ли отслеживать на фре такую ситуацию, когда юзвер меняет свой IP&MAC на чей то ...... для доступа в нет ......

[Serjio 19]

можно сделать так что бы arp lookup вообще не работал, и записи в таблицу можно было вносить исключительно с помощью arp. Тогда не придется присваивать нули всем пустым адресам.

 

Делается это так:

 

Добавляем флаг -arp на интерфейс:

 

ifconfig fxp0 -arp

 

и в файле /etc/rc.conf:

 

ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp"

 

Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида:

 

192.168.1.2 00:80:23:5F:65:8C

192.168.2.3 00:5C:67:9A:55:5B

. . .

 

Очищаем arp-кэш и загружаем статическую таблицу:

 

 

arp -ad

arp -f /etc/ether.local

 

и добавляем последнюю команду в /etc/rc.local

 

Теперь на этом интерфейсе arp не работает вообще. То есть не только не принимаются обновления в arp-кэш, но и не отсылаются ответы на запросы arp who-has. А это значит, что и на клиентских машинах необходима статическая запись соответствия ip и MAC-адресов маршрутизатора. На Windows-машинах это делается записью вида:

 

arp -s 192.168.1.1 00-79-36-FC-09-0F

 

В старых версиях FreeBSD поддержки флага -arp для интерфесов не было. Ниже патч к ядру FreeBSD который это делает(возможно подобные патчи существуют и для других ОС).

 

--- if_ether.c.stdThu Sep 10 18:22:48 1998
+++ if_ether.cFri Sep 11 16:53:22 1998
@@ -482,6 +482,7 @@
itaddr = myaddr;
goto reply;
}
+/*VV*/if (!(ac->ac_if.if_flags & IFF_NOARP)) {
la = arplookup(isaddr.s_addr, itaddr.s_addr == myaddr.s_addr, 0);
if (la && (rt = la->la_rt) && (sdl = SDL(rt->rt_gateway))) {
if (sdl->sdl_alen &&
@@ -501,6 +502,7 @@
la->la_hold = 0;
}
}
+/*VV*/}
reply:
if (op != ARPOP_REQUEST) {
m_freem(m);

 

В этом patch'е блокируется только обновление arp-кэша, ответы на запросы не блокируются, поэтому статические записи на клиентских машинах не требуются. В версиях FreeBSD старше чем 4.9-RELEASE патч не требуется, такая функциональность есть out of box. Просто нужно сконфигурировать интерфейс с флагом staticarp.

 

Способ 2 (дорогой и надежный) Port Security.

 

Необходимо приобрести свитч, который позволяет сделать привязку MAC к конкретному физическому порту в свитче. А на роутере в свою очередь делается статическая привзяка IP к MAC. Обмануть такую защиту практически невозможно. Однако стоят такие свитчи немало.Один из недостатков данного способа - клиенты будут удивляться, почему не работает интернет после смены сетевой карты.

 

ну а там смотри в такие варианты как туннелирование (PPTP или L2TP).

[kvirtu 315]

спасибо, первый вариант буду реализовывать на практике + на биллинге поставлю MPD с привязкой по МАС

[kvirtu 315]

Все работает, только вот команда:

arp -s 192.168.1.1 00-79-36-FC-09-0F - в винде выполняеться, но при перезагрузке винды, это правило теряеться ..... :-/ ,

выход писать батик и ставить в автозагрузку винды ......