Freesco, NND, CDN, EOS

Hey. Jak w temacie. W jakim pliku wpisać adresy mac'i i ip aby działało to tak jak powinno (oraz co należy dodatkowo włączyć?)
(sorry za pytanie lamera)

/etc/dhcpd.conf
Jest tam zahaszowany przykładowy wpis. Nie powinieneś mieć problemów.
Z tego co mi wiadomo dodatkowych rzeczy nie musisz uruchamiać. DHCP uruchamia się przy starcie NND

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

coś niezbyt blokuje. chodzi mi o to aby internet miały tylko te osoby które mają określony nr ip oraz mac. w tym wypadku wpisanie przez użytkownika nr ip na stałe powoduje, że i tak ma inet. chodzi mi o coś takiego np.:
/usr/sbin/iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.0.X -o eth0 -j ACCEPT

gdzie coś takiego wpisać?
prosze o pomoc.

Sluzy do tego program arp. Bylo na forum juz wiele razy, wiec poszukaj. A tak w skrocie: tworzysz plik /eth/ethers gdzie umieszczasz numery IP powiazane z adresami MAC. A nastepnie wpisujesz arp -f, co powoduje zaladowanie z pliku ethers powiazanych numerkow. arp -f trzeba dodac oczywiscie do jakiegos skryptu startowego, np. /etc/rd.d/rc.local.

I dwie uwagi:
1. Wszystkie IP, ktore nie maja miec dostepu do serwera i sieci nalezy rowniez umiescic w tym pliku podajac nieistniejacy adres MAC, np. 01:00:00:00:00:00 (nie zalecam wybierania 00:00:00:00:00:00, bo uszkodzone karty sieciowe czasami maja taki MAC, wtedy mialyby dostep do sieci, a nie o to nam chodzi).
2. Proponuje pozostawic sobie jakis backdoor w rodzaju 192.168.0.123, tzn. nie umieszczac tego IP w pliku ethers. To umozliwi prace serwisowe na dowolnym komputerze w sieci w wypadku wymiany komus karty sieciowej, awarii, itp... Trzeba tylko monitorowac to IP (polecam MRTG) zeby ktos z tego na lewo nie korzystal.

Pozdrawiam.

czy ten sposób spowoduje, że kompy z innymi adresami nie będą miały sieci wogóle? A co z tymi które mają mieć sieć (lokalną), a dostępu do internetu nie?

Poszukaj na forum... wskazówka: firewall

Dzizis czy to znaczy że jeśli mam tylko 10 kompów w sieci to całą reszrę adresów muszę powpisywać ? toż to do grudnia mi zejdzie

pozdrawiam

To masz gotowy
http://pc72.milocin.sdi.tpnet.pl:88/ethers
tylko nie zapomnij pozmieniac na swoje

Dzięki suhopar.Już se wklejłem
Myslałem że jest może jakiś inny sposób wpisania tego np. 192.168.11:249 albo jeszcze cos innego..

pozdrawiam

Jesli masz 10 kompow w sieci i nie planujesz wiecej, to zmien sobie maske na: 255.255.255.240 albo inaczej /28. Poza adresem sieci i rozgloszeniowym masz wtedy do wykorzystania 13 adresow IP (15-2). W takiej sytuacji bedziesz mial do wypelnienia tylko kilka pozycji, ale nie polecam wpisywania samych zer, wyzej napisalem czemu.

Pozdrawiam

no jak będzie uszkodzona to chyba i tak nie będzie zapodawać neta ?

Niestety, nie do konca. Spotkalem sie z kartami, ktore dobrze dzialaly, ale na MACu 00:00:00:00:00:00, osiagaly nawet niezle transfery. Widzialem tez WAPy z takimi macami, one rowniez dzialaly. Z urzadzeniami uszkodzonymi to jest tak, ze czasami dzialaja dobrze, czasami gorzej, ale ich uzycie jest zawsze ryzykowne.
Inna kwestia jest, ze jesli ktos sie chce wlamac do sieci, to moze celowo zmienic sobie MACa na 00:00:00:00:00:00, ustawic dowolny/kosmiczny IP i ma dostep do routera, a w dodatku trudno wykryc takiego intruza, bo po MACu sie przeciez nie da. Mozna probowac po ttlach, ale to juz wyzsza szkola jazdy. Prosciej nie wpisywac do /etc/ethers zer.

Czy was juz calkiem pokrecilo ?
Od blokowania nieuzywanych numerow IP jest firewall !!!!


UWAGA!! dla iptables trzeba to zrobic zarowno w lancuchu INPUT jak i FORWARD !!! Ale mozna dac domyslna polityke DROP

Wreszcie rozsadny glos w dyskusji.


Dla osob ktore maja staly IP w Internecie (SDI, iDSL) nalezy raczej wpisac:

gdzie INETIP to adres zewnetrzny.


Niestety ta linijka i zmiana polityki dla lancucha forward powoduje, ze net w ogole nie dziala. Ponizej przedstawiam wyniki przeprowadzonych przeze mnie testow:

Przy powyzszych regulach Laptop ma dostep do Internetu i do routera

A teraz dokladam regule dla lancucha FORWARD i zmieniam polityke domyslna na DROP
efekt:

Laptop ma nadal dostep do routera, ale do Internetu juz nie.
Stad wniosek, ze nie nalezy blokowac lancucha FORWARD, choc szczerze mowiac, zupelnie nie mam pojecia dlaczego tak jest ??
Moze ktos pomoze ??
W kazdym razie blokowanie lancucha INPUT jest wystarczajace aby zablokowac dostep do serwera osobom nieupowaznionym, natomiast nie wpisywanie do lancucha POSTROUTING wystarczy by zabezpieczyc przed dostepem do Internetu.

Pozdrawiam.

A łyżka no to : NIE MOŻLIWE

Zapomniales o pakietach, ktore wracaja.
Na koncu kazdego szanujacego sie firewala powinno byc:

ale wystarczy:

Owszem zCiech to głos rozsądku...
ale chłopaki chcą przy okazji zablokować wejście do sieci niepowołanych osób.