Freesco, NND, CDN, EOS
http://forum.freesco.pl/

blokowanie dostępu do netu dla ip z poza zakresu.
http://forum.freesco.pl/viewtopic.php?f=22&t=16004		 Strona 1 z 2
Autor:  mitek [ niedziela, 30 września 2007, 10:41 ]
Tytuł:  blokowanie dostępu do netu dla ip z poza zakresu.
Witam

mam zainstalowanego najnowszego nnd do tego niceshaper i mrtg tylko.

podczas pierwszej konfiguracji ustawiłem pule ip na 40 i niceshaper ładnie mi tym zarządza jednak jak wpisze na swoim kompie inne ip z poza zakresu to nie dość ze mam internet to jeszcze niceshaper nawet go nie ogranicza 8O

co mogę zrobić by do serwer dopuszczał do internetu tylko te adresy które zdeklarowałem w pierwszej konfiguracji lub tylko te co niceshaper udostępnia?

dzięki (jestem laikiem jeśli chodzi o linuxy wiec proszę nie sypać sloganami :roll: )
Autor:  Kimas [ niedziela, 30 września 2007, 10:49 ]
Tytuł: 
dhcp ip+mac i kontrola ip+mac przez arp
http://nnd.freesco.pl/faq.php#17
Autor:  zciech [ niedziela, 30 września 2007, 11:45 ]
Tytuł: 
http://forum.freesco.pl/viewtopic.php?t ... highlight=
Autor:  rikardo7 [ niedziela, 30 września 2007, 13:14 ]
Tytuł: 
tak firewal to dobry pomysl, ale mozna tez zahaszowac w pliku dhcpd range i przypisac IP i MAC oraz jak radzi kimas wlaczyc arpa i powinno wystarczyc.
Autor:  mitek [ niedziela, 30 września 2007, 19:32 ]
Tytuł: 
ja niechce maków ani nic innego jest mi to zbedne chce tylko by adresy które zdeklarowalem byly dostepne a reszta nie.

zciech (ten link niedziala)
Autor:  -MW- [ niedziela, 30 września 2007, 20:09 ]
Tytuł: 
utworz siec z mala maska, na kilka kompow
Autor:  zciech [ niedziela, 30 września 2007, 20:49 ]
Tytuł: 
1. link do tematu dziala.
2. pakiet jest w repozytorium testing
3. admin reliserv.pl cos pokrecil z domena na co nie mam wpływu.
Ppodobno pojechał na roboty do Niemiec
tymczasowo http://83.14.130.45/nnd/
Autor:  mitek [ poniedziałek, 1 października 2007, 17:16 ]
Tytuł: 
witam

zdecydowałbym sie na zmiane maski sieci w serwerze i pewnie trzeba postępować wg tego:

Bity Maska Liczba adresów
/1 128.0.0.0 2147483648
/2 192.0.0.0 1073741824
/3 224.0.0.0 536870912
/4 240.0.0.0 268435456
/5 248.0.0.0 134217728
/6 252.0.0.0 67108864
/7 254.0.0.0 33554432
/8 255.0.0.0 16777216
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536
/17 255.255.128.0 32768
/18 255.255.192.0 16384
/19 255.255.224.0 8192
/20 255.255.240.0 4096
/21 255.255.248.0 2048
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256
/25 255.255.255.128 128
/26 255.255.255.192 64
/27 255.255.255.224 32
/28 255.255.255.240 16
/29 255.255.255.248 8
/30 255.255.255.252 4

jednak gdzie znajde w konfiguracji nnd miejsce gdzie to moge wklepac? dla mojej sieci z 40 userami wystarczy mi maska 255.255.255.192 czyli 64 adresy. zgadza sie?
Autor:  -MW- [ poniedziałek, 1 października 2007, 21:44 ]
Tytuł: 
no

a arp bodzie?
Autor:  mitek [ poniedziałek, 1 października 2007, 22:07 ]
Tytuł: 
:lol: bodzie nie bodzi niestety za wiele nie potrafie zrobic pod tym nnd a raczej pod LINUX ogulnie wiec wydaje mi sie ze bedzir to prościej zrobic. moge na jakąś podpowiedź liczyc?
Autor:  Kimas [ poniedziałek, 1 października 2007, 22:40 ]
Tytuł: 
jezeli chodzi o arp to wyglada to tak, w /etc tworzysz plik(shift+f4) o nazwie ethers, do ktorego wpisujesz dane:

: [/] [] ()
10.0.0.2 00:00:00:00:00:01
10.0.0.3 00:00:00:00:00:02
10.0.0.4 00:00:00:00:00:03
10.0.0.5 00:00:00:00:00:04
GeSHi © Codebox Plus

tylko ze wpisujesz tam swoje ip i macki, pozniej zapisujesz dokonane zmiany - f2

jak wszystko wydaje się ok, to wstukujesz kolecenie
: [/] [] ()
arp -f
GeSHi © Codebox Plus

pozniej edytujesz plik /etc/rc.d/rc.local - dodajesz do niego linie
: [/] [] ()
arp -f
GeSHi © Codebox Plus

no i chyba to wszystko
Autor:  mitek [ poniedziałek, 1 października 2007, 22:45 ]
Tytuł: 
i to by było fajnie jednak nieznam wszystkich maków ludzi czasami serwer wykrywa mak karty a czasami ap dlatego filtracje maków chciałem zostawić AP jak mialem do tej pory a zmienić tylko ta maske podsieci tylko zwyczajnie niewiem gdzie ;-/
Autor:  Maciek [ poniedziałek, 1 października 2007, 23:07 ]
Tytuł: 
Zakładam, że masz ASK (amatorską sieć komputerową), bo jeśli komercyjną to żenada. Zastanówcie się wspólnie nad dokonaniem pewnych zmian strukturalnych, nie każdy musi być adminem serwera linuksowego na pececie.
Autor:  mitek [ poniedziałek, 1 października 2007, 23:47 ]
Tytuł: 
tak to mala siec stworzona tylko na potrzeby znajomych no ale rozsylana po WiFi wiec kazdy mugłby sie wbic a przy okazji nawt czlonkowie z sieci moga zmienic sobie ip...

zmieniałem juz w niceshaperku wpis po ip na /29 co odpowiada 64 userom
zmienilem tez w pliku etc/dhcpd.conf maske na 255.255.255.192 jednak jak wpisze sobie ip z koncówka 150 to i tak dzial mi net ;-/ da sie cos na to poradzic albo gdzie jeszcze musze ta maske dopisac.
Autor:  Maciek [ wtorek, 2 października 2007, 00:00 ]
Tytuł: 
Przy 40 użytkownikach zarządzanie na NND wymaga zastosowania wskazanych ci już poprzednio narzędzi. Nie wszystko się da załatwić w najprostszy sposób i najmniejszym nakładem kosztów. Czy gdybyś budował akwarium, to tafle szkła sklejałbyś plasteliną?
Moja rada, na każdym AP (mam nadzieję, że są odpowiednie) zastosować jako minimum szyfrowanie + autoryzację po MAC. A jeszcze lepiej kupić takie AP na stacje bazowe, które oparte będą np na mikrotiku lub na dd-wrt, czy openwrt. Zastosować zarządzanie daną grupą userów zorganizować na AP. NND będzie wówczas dzielić sygnał na poszczególne grupy.
Samo ograniczenie maski do /26 oczywiście powinna ograniczyć zakres możliwości, ale wymaga to nie tylko zmiany w pliku ale i restartu interfejsu oraz iptables (jeśli jest iptables.rules - skasować). Jednak nie zrobisz maski na 40 komputerów (musiałbyś zrobić dwie podsieci na 32 i na 8). A i tak jest to miernym zabezpieczeniem w sieci, gdzie nie ty jesteś administratorem stacji roboczych. Bez pewnej wiedzy i umiejętności się nie obędzie.
Autor:  mitek [ wtorek, 2 października 2007, 16:27 ]
Tytuł: 
mam juz na jedna stacje mikrotika narazie go uruchamiam na biorku ;-) chce byc pewnym jak bedzie dzialal jak go zainstaluje.

Czyli polecalbys przydzielenie na nnd jakiegos adresu dla mikrotika i potem dzielic reszte juz mikrotikiem? narazie niewiele potrafie zrobic z tym mikrotikiem niby juz dziala mi ruter z nat ale niewiem czy bedzie on tak radzil sobie z podzialem sygnału jak niceshaper. bedzie?

przestawiłem sobie wczesniej nnd na 64 adresy bo tak moge maska zrobic jednak nadal nic mi to nie dalo ;-/ czy mozesz wymienic pliki w których musze dokonac zmiany tej maski?

ja zrobilem w pliku od niceshapera oraz w pliku etc/dhcpd.conf (w nim w kilku miejscach jednka nadal nic mi tego nie blokuje.
narazie za maki sie nie biore bo nie wszystkie znam. czy jest jakis program ktory by wyswietlil jakie maki maja konkretne ip?

i jeszcze jedno pytanie co do arp czy jesli nie podałbym konkretnego maka dla karty chodzi mi o to ze go nie wpisze albo wpisze np same zera te bedzie dzialalo a jak juz bedz wiedzial jaki to mak to wtedy uzupelnie np w późniejszym terminie.

co do szyfrowania na ap to nie stosuje bo widocznie to spowalnia net na AP moi userki maja po 1mb wiec dosc sporo by dostarczyc to do wielu userów. tera mam nadajniki senao i jednego tonze a dokladnie to sparklana. z czasem bede mikrotiki na bazy zakladal ale narazie na poczatek do najbardziej obleganej umnie bazy.
Autor:  czerwo [ wtorek, 2 października 2007, 17:46 ]
Tytuł: 
mitek pisze:
i to by było fajnie jednak nieznam wszystkich maków ludzi czasami serwer wykrywa mak karty a czasami ap dlatego filtracje maków chciałem zostawić AP jak mialem do tej pory a zmienić tylko ta maske podsieci tylko zwyczajnie niewiem gdzie ;-/

A jak ktos zmieni sobie ip recznie? Co za problem?
A maki masz w logach pod dhcp, nmapem idzie wyciagnac itp.
Autor:  mitek [ wtorek, 2 października 2007, 18:43 ]
Tytuł: 
z tego co sie orientuje to mak karty nie zawsze odpowiada mokowi na ktore idzie dhcp.

karta w pc jak pyta o ip dhcp to wtedy jest mak karty a jak juz jest reszta komunikacji to wtedy jest widziany mac np AP za którym jest dana karta (czasami mam tak ze za jednym AP mam kilka PC i widziane przez serwer są pod jednym mac a jak karty proszę o ip dhcp to maki są juz inne ;-/)
Autor:  mitek [ wtorek, 2 października 2007, 18:44 ]
Tytuł: 
ale poszperam dokladnie moze cos wymysle tylko zawsze mało czasu ;-)
Autor:  czerwo [ wtorek, 2 października 2007, 19:07 ]
Tytuł: 
mitek pisze:
karta w pc jak pyta o ip dhcp to wtedy jest mak karty a jak juz jest reszta komunikacji to wtedy jest widziany mac np AP za którym jest dana karta


Zmien ap ktory przepuszcza maci.
mac ktory odpytuje dhcp odpowiada taj karcie co odpytuje
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/