| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| filtrowanie mac+ip w NND? http://forum.freesco.pl/viewtopic.php?f=22&t=4779 |
Strona 1 z 1 |
| Autor: | moniekmig [ poniedziałek, 21 czerwca 2004, 20:13 ] |
| Tytuł: | filtrowanie mac+ip w NND? |
Hey. Jak w temacie. W jakim pliku wpisać adresy mac'i i ip aby działało to tak jak powinno (oraz co należy dodatkowo włączyć?) (sorry za pytanie lamera) |
|
| Autor: | passy [ poniedziałek, 21 czerwca 2004, 22:17 ] |
| Tytuł: | |
/etc/dhcpd.conf Jest tam zahaszowany przykładowy wpis. Nie powinieneś mieć problemów. Z tego co mi wiadomo dodatkowych rzeczy nie musisz uruchamiać. DHCP uruchamia się przy starcie NND |
|
| Autor: | moniekmig [ poniedziałek, 21 czerwca 2004, 23:51 ] |
| Tytuł: | hmmm.... |
coś niezbyt blokuje. chodzi mi o to aby internet miały tylko te osoby które mają określony nr ip oraz mac. w tym wypadku wpisanie przez użytkownika nr ip na stałe powoduje, że i tak ma inet. chodzi mi o coś takiego np.: /usr/sbin/iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.0.X -o eth0 -j ACCEPT gdzie coś takiego wpisać? prosze o pomoc. |
|
| Autor: | Adrian [ wtorek, 22 czerwca 2004, 00:21 ] |
| Tytuł: | |
Sluzy do tego program arp. Bylo na forum juz wiele razy, wiec poszukaj. A tak w skrocie: tworzysz plik /eth/ethers gdzie umieszczasz numery IP powiazane z adresami MAC. A nastepnie wpisujesz arp -f, co powoduje zaladowanie z pliku ethers powiazanych numerkow. arp -f trzeba dodac oczywiscie do jakiegos skryptu startowego, np. /etc/rd.d/rc.local. I dwie uwagi: 1. Wszystkie IP, ktore nie maja miec dostepu do serwera i sieci nalezy rowniez umiescic w tym pliku podajac nieistniejacy adres MAC, np. 01:00:00:00:00:00 (nie zalecam wybierania 00:00:00:00:00:00, bo uszkodzone karty sieciowe czasami maja taki MAC, wtedy mialyby dostep do sieci, a nie o to nam chodzi). 2. Proponuje pozostawic sobie jakis backdoor w rodzaju 192.168.0.123, tzn. nie umieszczac tego IP w pliku ethers. To umozliwi prace serwisowe na dowolnym komputerze w sieci w wypadku wymiany komus karty sieciowej, awarii, itp... Trzeba tylko monitorowac to IP (polecam MRTG) zeby ktos z tego na lewo nie korzystal. Pozdrawiam. |
|
| Autor: | moniekmig [ wtorek, 22 czerwca 2004, 20:08 ] |
| Tytuł: | no cóż... |
czy ten sposób spowoduje, że kompy z innymi adresami nie będą miały sieci wogóle? A co z tymi które mają mieć sieć (lokalną), a dostępu do internetu nie? |
|
| Autor: | Anonymous [ wtorek, 22 czerwca 2004, 20:19 ] |
| Tytuł: | |
Poszukaj na forum... wskazówka: firewall |
|
| Autor: | smiernof [ środa, 30 czerwca 2004, 13:43 ] |
| Tytuł: | |
Adrian pisze: I dwie uwagi: 1. Wszystkie IP, ktore nie maja miec dostepu do serwera i sieci nalezy rowniez umiescic w tym pliku podajac nieistniejacy adres MAC, np. 01:00:00:00:00:00 (nie zalecam wybierania 00:00:00:00:00:00, bo uszkodzone karty sieciowe czasami maja taki MAC, wtedy mialyby dostep do sieci, a nie o to nam chodzi). Pozdrawiam. Dzizis czy to znaczy że jeśli mam tylko 10 kompów w sieci to całą reszrę adresów  muszę powpisywać ? toż to do grudnia mi zejdzie 
pozdrawiam |
|
| Autor: | suhopar [ środa, 30 czerwca 2004, 15:13 ] |
| Tytuł: | |
To masz gotowy http://pc72.milocin.sdi.tpnet.pl:88/ethers tylko nie zapomnij pozmieniac na swoje |
|
| Autor: | smiernof [ środa, 30 czerwca 2004, 15:54 ] |
| Tytuł: | |
Dzięki suhopar.Już se wklejłem 
Myslałem że jest może jakiś inny sposób wpisania tego np. 192.168.11:249 albo jeszcze cos innego.. pozdrawiam |
|
| Autor: | Adrian [ środa, 30 czerwca 2004, 16:03 ] |
| Tytuł: | |
Jesli masz 10 kompow w sieci i nie planujesz wiecej, to zmien sobie maske na: 255.255.255.240 albo inaczej /28. Poza adresem sieci i rozgloszeniowym masz wtedy do wykorzystania 13 adresow IP (15-2). W takiej sytuacji bedziesz mial do wypelnienia tylko kilka pozycji, ale nie polecam wpisywania samych zer, wyzej napisalem czemu. Pozdrawiam |
|
| Autor: | mat1l9s [ środa, 30 czerwca 2004, 19:29 ] |
| Tytuł: | |
Adrian pisze: I dwie uwagi:
1. Wszystkie IP, ktore nie maja miec dostepu do serwera i sieci nalezy rowniez umiescic w tym pliku podajac nieistniejacy adres MAC, np. 01:00:00:00:00:00 (nie zalecam wybierania 00:00:00:00:00:00, bo uszkodzone karty sieciowe czasami maja taki MAC, wtedy mialyby dostep do sieci, a nie o to nam chodzi). no jak będzie uszkodzona to chyba i tak nie będzie zapodawać neta ? |
|
| Autor: | Adrian [ środa, 30 czerwca 2004, 19:58 ] |
| Tytuł: | |
mat1l9s pisze: no jak będzie uszkodzona to chyba i tak nie będzie zapodawać neta ?
Niestety, nie do konca. Spotkalem sie z kartami, ktore dobrze dzialaly, ale na MACu 00:00:00:00:00:00, osiagaly nawet niezle transfery. Widzialem tez WAPy z takimi macami, one rowniez dzialaly. Z urzadzeniami uszkodzonymi to jest tak, ze czasami dzialaja dobrze, czasami gorzej, ale ich uzycie jest zawsze ryzykowne. Inna kwestia jest, ze jesli ktos sie chce wlamac do sieci, to moze celowo zmienic sobie MACa na 00:00:00:00:00:00, ustawic dowolny/kosmiczny IP i ma dostep do routera, a w dodatku trudno wykryc takiego intruza, bo po MACu sie przeciez nie da. Mozna probowac po ttlach, ale to juz wyzsza szkola jazdy. Prosciej nie wpisywac do /etc/ethers zer. |
|
| Autor: | zciech [ czwartek, 1 lipca 2004, 09:56 ] |
| Tytuł: | |
Czy was juz calkiem pokrecilo ? Od blokowania nieuzywanych numerow IP jest firewall !!!! UWAGA!! dla iptables trzeba to zrobic zarowno w lancuchu INPUT jak i FORWARD !!! Ale mozna dac domyslna polityke DROP i="iptables" $i -P INPUT DROP $i -P FORWARD DROP # Uzytkownicy wymienieni w /etc/hosts polaczenia dozwolone sed -n /^/P /etc/hosts |while read IP nazwa ;do $i -A INPUT -s $IP -j ACCEPT $i -A FORWARD -s $IP -j ACCEPT $i -t nat -A POSTROUTING -s $IP -j MASQUERADE done |
|
| Autor: | Adrian [ czwartek, 1 lipca 2004, 11:49 ] |
| Tytuł: | |
Wreszcie rozsadny glos w dyskusji. zciech pisze: $i -t nat -A POSTROUTING -s $IP -j MASQUERADE Dla osob ktore maja staly IP w Internecie (SDI, iDSL) nalezy raczej wpisac: gdzie INETIP to adres zewnetrzny. zciech pisze: $i -A FORWARD -s $IP -j ACCEPT Niestety ta linijka i zmiana polityki dla lancucha forward powoduje, ze net w ogole nie dziala. Ponizej przedstawiam wyniki przeprowadzonych przeze mnie testow: iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- Laptop anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Przy powyzszych regulach Laptop ma dostep do Internetu i do routera A teraz dokladam regule dla lancucha FORWARD i zmieniam polityke domyslna na DROP efekt: iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- Laptop anywhere Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- Laptop anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Laptop ma nadal dostep do routera, ale do Internetu juz nie. Stad wniosek, ze nie nalezy blokowac lancucha FORWARD, choc szczerze mowiac, zupelnie nie mam pojecia dlaczego tak jest ?? Moze ktos pomoze ?? W kazdym razie blokowanie lancucha INPUT jest wystarczajace aby zablokowac dostep do serwera osobom nieupowaznionym, natomiast nie wpisywanie do lancucha POSTROUTING wystarczy by zabezpieczyc przed dostepem do Internetu. Pozdrawiam. |
|
| Autor: | zciech [ czwartek, 1 lipca 2004, 15:01 ] |
| Tytuł: | |
A łyżka no to : NIE MOŻLIWE Zapomniales o pakietach, ktore wracaja. Na koncu kazdego szanujacego sie firewala powinno byc: # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych # polaczen $i -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p icmp -j ACCEPT -m state --state RELATED $i -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p tcp -j ACCEPT -m state --state RELATED $i -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p icmp -j ACCEPT -m state --state RELATED ale wystarczy: i="iptables" $i -P INPUT DROP $i -P FORWARD DROP # Uzytkownicy wymienieni w /etc/hosts polaczenia dozwolone sed -n /^/P /etc/hosts |while read IP nazwa ;do $i -A INPUT -s $IP -j ACCEPT $i -A FORWARD -s $IP -j ACCEPT $i -A FORWARD -d $IP -j ACCEPT $i -t nat -A POSTROUTING -s $IP -j MASQUERADE done |
|
| Autor: | Koriolan [ czwartek, 1 lipca 2004, 20:08 ] |
| Tytuł: | |
Owszem zCiech to głos rozsądku... ale chłopaki chcą przy okazji zablokować wejście do sieci niepowołanych osób. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|