Freesco, NND, CDN, EOS
http://forum.freesco.pl/

udostepnienie netu wybranym
http://forum.freesco.pl/viewtopic.php?f=22&t=6346		 Strona 1 z 2
Autor:  Anonymous [ wtorek, 4 stycznia 2005, 21:06 ]
Tytuł:  udostepnienie netu wybranym
witam!!
mam nnd-linux-0.1-2004.11.16 i niedawno przesiadlem sie z freesco.
zakres mojego lanu to 192.168.1.2 - 192.168.1.7
te adresy przydziela dhcp. ma tez arp.
ale gdy na sztywno w jakims kompie wpisze ip np. 192.168.1.11 to net jest na tym kompie.
jak mozna zrobic aby tylko kilka adresow ip mialo net??
w freesco mialem:
ipfwadm -I -i reject -S 192.168.1.0/24
ipfwadm -I -i accept -W eth1 -S 192.168.1.2
ipfwadm -I -i accept -W eth1 -S 192.168.1.3
ipfwadm -I -i accept -W eth1 -S 192.168.1.4
ipfwadm -I -i accept -W eth1 -S 192.168.1.5
ipfwadm -I -i accept -W eth1 -S 192.168.1.6
ipfwadm -I -i accept -W eth1 -S 192.168.1.7

a jak to zrobic w nnd??

TIA
Pozdrawiam
Autor:  xmaster [ wtorek, 4 stycznia 2005, 21:30 ]
Tytuł: 
1. wylacz demona dhcp
2. utwórz plik /ect/ethers
3. wpisz w nim tak
192.168.0.2 ff:ff:ff:ff:ff:ff
i tak po kolei dla kazdego usera gdzie ff:ff:ff:ff:ff:ff to MAC sieciówki które ma każdy klient a IP to IP ktore musi miec na sztywno wpisane w kompie

wpisz polecenie arp -f i juz dziala

gdzies na forum jest ja to zrobic na stale tzn arp -f
Autor:  Anonymous [ wtorek, 4 stycznia 2005, 23:00 ]
Tytuł: 
po czesci mam tak zrobione jak piszesz oprocz punktu 1 bo chce aby dhcp dawalo ip kompom i chodzilo.
arp chodzi i odpala sie za kazdym razem.
dhcp dobrze przydziela ip kazdemu mac'owi.
tylko problem jest z tym ze wpisujac recznie jakies ip z poza puli dhcp np. 192.168.1.15 net na tym kompie jest.
chcialem zrobic cos takiego jak w freesco na ipfwadm tzn.:zabronic kazdemu ip dostepu do netu a pozniej pozwolic tylko kilku adresom ip.
przeciez nie bede w pliku /ect/ethers wypisywal wszystkich mozliwych ip od 8 do 255 i wymyslal nieistniejace mac'ki.
Autor:  Adrian [ wtorek, 4 stycznia 2005, 23:01 ]
Tytuł: 
xmaster pisze:
i tak po kolei dla kazdego usera gdzie ff:ff:ff:ff:ff:ff to MAC sieciówki które ma każdy klient a IP to IP ktore musi miec na sztywno wpisane w kompie

Wcale nie musi byc na sztywno wpisane w kompie, a nawet IMHO nie powinno.
Wystarczy wpisy, ktore umiesciles w pliku /etc/ethers zrobic rowniez w pliku /etc/dhcpd.conf. Wowczas za posrednictwem protokolu dhcp odpowiednie numery IP beda przypisywane odpowiednim komputerom w zaleznosci od MAC adresow.
Autor:  xmaster [ wtorek, 4 stycznia 2005, 23:08 ]
Tytuł: 
kacper182 pisze:
przeciez nie bede w pliku /ect/ethers wypisywal wszystkich mozliwych ip od 8 do 255 i wymyslal nieistniejace mac'ki.


nie musisz
jeśli wyłączysz dhcp to internet nie zostanie przydzielony nikomu ort. w pisów w arp
mam tak i działa
i nawet jeśli jakaś osoba zmieni sobie np IP z 192.168.0.5 na 192.1ar68.0.6 lub jakiekolwiek inne to nnd nie dostarczy netu
nawet jesli zmieni karte sieciową czyli zmieni jej się mac to netu nie
imho najwygodniejsze rozwiązanie.

po co Ci dhcp ?? to nie jest dobra metoda moim zdaniem oczywiscie bo tak jak piszesz mimo arp dhcp nadal wpuszcza ludzi
tzeba wyłączyć dhcp i po problemie

ps jak znajde ten wątek jak to dokładnie zrobić to tu go zacytuje
Autor:  Adrian [ wtorek, 4 stycznia 2005, 23:15 ]
Tytuł: 
xmaster pisze:
po co Ci dhcp ?? to nie jest dobra metoda moim zdaniem oczywiscie bo tak jak piszesz mimo arp dhcp nadal wpuszcza ludzi
tzeba wyłączyć dhcp i po problemie

Oj nieprawda, nieprawda. Bzdury kolega pisze.
Sorki za ton - ale nie jestes pewien - nie pouczaj innych.

DHCP nie ma nic do udostepniania lub nie ludziom netu.
Jesli chcesz zablokowac innym internet - zastosuj odpowiednio mala maske np. 255.255.255.240 - dla 13 hostow majacych miec internet. Do tego odpowiednia regulka w iptables z DROP dla userow spoza sieci.
A w obrebie podsieci mozna zablokowac niechcianych userow za pomoca /etc/ethers lub rowniez filtrowac iptablesami odpowiednie adresy MAC

A wracajac do DHCP, to jest to protokol automatycznej konfiguracji hostow w sieci i jest raczej dobra sprawa bo
1) Jakis user sobie przeinstaluje system, nie trzeba nic konfigurowac, wszystko sie poustawia samo
2) Twoja siec sie rozbuduje, niektorzy userzy odejda, inni dojda, zajdzie potrzeba zmiany numerow IP. Po co biegac po wszystkich komputerach, jesli wszystko mozna zrobic centralnie, na serwerze ?

[EDIT]
Wiesz xmaster, wydaje mi sie, ze tobie dhcp kojarzy sie z automatyczna przypisywaniem numerow IP do komputerow w sieci, a wcale tak byc nie musi. Mozna skonfigurowac dhcp do statycznego przydzielania numerow IP na podstawie adresow MAC kart sieciowych. I to jest dobre rozwiazanie.
Autor:  xmaster [ wtorek, 4 stycznia 2005, 23:35 ]
Tytuł: 
Adrian pisze:
xmaster pisze:
po co Ci dhcp ?? to nie jest dobra metoda moim zdaniem oczywiscie bo tak jak piszesz mimo arp dhcp nadal wpuszcza ludzi
tzeba wyłączyć dhcp i po problemie

Oj nieprawda, nieprawda. Bzdury kolega pisze.
Sorki za ton - ale nie jestes pewien - nie pouczaj innych.

Oj prada, prawda
co do bzdur, autor wątku pytał ja odpowiedziałem, przykro mi że nie jest to w zgodzie z twoją ideologią że Ty masz zawsze rację
Cytuj:
moim zdaniem oczywiscie
widać nie potrafisz zaakceptować czyjegoś zdania
przyko mi ale PRL mamy już za sobą i mam prwawo do wyrażania własnych opinii, jeśli Ci to przeszkadza to zapisz się do SLD i reaktywój PRL
co do tego czy jestem pewien.
tak jestem pewien, tak było na początku u mnie i mimo statycznego przypisania w dhcp przydzielało innym net, brak dhcp rozwiązał problem
no ale przecież Ty na pewno masz rację a ja piszę bdury
Cytuj:
A wracajac do DHCP, to jest to protokol automatycznej konfiguracji hostow w sieci i jest raczej dobra sprawa bo
1) Jakis user sobie przeinstaluje system, nie trzeba nic konfigurowac, wszystko sie poustawia samo
2) Twoja siec sie rozbuduje, niektorzy userzy odejda, inni dojda, zajdzie potrzeba zmiany numerow IP. Po co biegac po wszystkich komputerach, jesli wszystko mozna zrobic centralnie, na serwerze ?


1. na pewno każdy robi reinstall i to codziennie, wiec masz racje to uciążliwe codziennie konfigurować komputer
1a. ps ale wpisanie kilku cyferek zajmuje mniej niż minutę no ale przecież to kupa roboty
2. nie widze potrzeby biegania po wszystkich komputerach, no chyba ze masz je wszystkie w domu, wtedy tak, a jeśli nie to Twoi klienci chyba potrafią pisać na klawiaturze, a jesli nie to po co im internet

pozadrawiam
Autor:  Adrian [ środa, 5 stycznia 2005, 00:36 ]
Tytuł: 
xmaster pisze:
tak jestem pewien, tak było na początku u mnie i mimo statycznego przypisania w dhcp przydzielało innym net, brak dhcp rozwiązał problem
no ale przecież Ty na pewno masz rację a ja piszę bdury

Kazdy jest omylny, rowniez ja, to forum sluzy do wymiany pogladow, dzieki temu kazdy moze sie czego nauczyc ;)
Ale akurat dhcp jest podstawowa usluga sieciowa, dlatego moj troche ostrzejszy ton, za co wielkie sorki.
Tym niemniej nie chodzi o to, ze mysle, iz to tak dziala. Jak napisalem dhcp to podstawy, dlatego to co napisalem - napisalem ostro i z przekonaniem.
Prosze Cie, poczytaj wiecej na ten temat, bo naprawde sie mylisz.
Nawet jesli zablokujesz dhcp, to przeciez ktos sobie moze na sztywno wpisac numer IP/maske/bramke/serwery dns i dostep do sieci uzyska. Oczywiscie jesli pozwoli mu na to iptables, ale to nie ma zwiazku z dhcp.

A czy warto czy nie warto to juz pozostawiam do wyboru administratorom. Kazdy robi jak chce, ja uzywam i uwazam ze warto z powodow, ktore opisalem wczesniej.

Pozdrawiam
Autor:  xmaster [ środa, 5 stycznia 2005, 01:12 ]
Tytuł: 
Adrian pisze:
Nawet jesli zablokujesz dhcp, to przeciez ktos sobie moze na sztywno wpisac numer IP/maske/bramke/serwery dns i dostep do sieci uzyska. Oczywiscie jesli pozwoli mu na to iptables, ale to nie ma zwiazku z dhcp.


hmm jeśli tak mówisz to pewnie masz rację

a zapomniałem przecież ten ktoś musiał by jeszcze dopisać a /etc/ethers swoje IP i MAC ale przecież każdy zna hasło roota :)

no ale na pewno się nie mylisz :)

pozdrawiam i życze szczęścia w nowym roku i jeszcze więcej nieomylności ale to już chyba nie możliwe
Autor:  Adrian [ środa, 5 stycznia 2005, 01:22 ]
Tytuł: 
xmaster pisze:
a zapomniałem przecież ten ktoś musiał by jeszcze dopisać a /etc/ethers swoje IP i MAC ale przecież każdy zna hasło roota :)

No ale przeciez arp to juz zupelnie inna usluga, rozmawialismy o dhcp przeciez. A dhcp, co juz ostatni raz podkreslam: w zaden sposob nie zabezpiecza przed nieuprawnionym dostepem do sieci!

Mamy w sieciach >>100 uzytkownikow, co pewien czas ktos reinstaluje Windows, czasami komus wylatuja w powietrze sterowniki, albo ustawienia sieciowe. W takich przypadkach trudno nie docenic dhcp. A w kwestii tego, ze to kilka numerkow, to dla przecietnego uzytkownika to czarna magia. I chyba tak powinno byc, bo po co obciazac uzytkownikow niepotrzebna im wiedza? A ja ze swej strony mam spokoj, nie musze odpowiadac na dziesiatki telefonow z pytaniami co i jak poustawiac, zeby net byl.

A w kwestii /etc/ethers, to oczywiscie jesli skonfigurujesz prawidlowo te tablice, to host nie uzyska dostepu ani do serwera, ani do Internetu.

Poza tym nie sposob wpisac wszystkie mozliwe numery IP do pliku /etc/ethers. Np. w przypadku sieci o masce 255.255.255.0 bylyby to 253 numery. Dlatego wazne jest rowniez odpowiednie skonfigurowanie maski sieci, oraz zablokowanie wszystkiego spoza sieci za pomoca regul iptables.

Poza tym zamiast pliku /etc/ethers mozna zrobic dokladnie to samo za pomoca odpowiednich regul iptables w rodzaju:
: [/] [] ()
iptables -A INPUT -i $INTERFACE -j mac-protect-${INTERFACE}
iptables -A FORWARD -i $INTERFACE -j mac-protect-${INTERFACE}
iptables -A mac-protect-${INTERFACE} -j DROP
iptables -I mac-protect-${INTERFACE} 1 -s $IP -m mac --mac-source $MAC -j RETURN
GeSHi © Codebox Plus


Ale odbiegamy od tematu...

A w kwestii doswiadczenia moglbys sobie podarowac ironie. Kazdy moze sie mylic, rowniez ja. A to co pisze wynika z doswiadczenia, serwerami i Internetem zajmuje sie juz od lat.
Autor:  Aszej [ środa, 5 stycznia 2005, 09:38 ]
Tytuł: 
Wedlug mnie najlepszy sposób to na sztywno przypisać każdemu ip konkretny mac adress karty sieciowej w dhcp, jako ip range ustawić jakiś zakres nie wykorzystywanych ip na przykładzie u siebie przyznaje ip od 192.168.1.2-xxx14 a zakres ip range xxx20-xxx21 dalej w firewallu Zciecha ustawiam jakie ip nie maja miec dostępu do internetu czyli xxx20-xxx21 według mnie to chyba najlepsze rozwiązanie, bo każdy komputer ma przyznawany ip od servera, oszczędza nam to kłopotu, a przyznawany ip range jest automatycznie blokowany czyli zabezpieczamy się przed lewymi podłączeniami.
Pozdrawiam
Autor:  ernidok [ środa, 5 stycznia 2005, 12:08 ]
Tytuł: 
również uważam ze dhcp+arp jest bardzo przydatne.
Chiałbym jednak powrócić do meritum tematu, mianowicie do blokowania dostępu do internetu dla niewykorzystanych IP, korzystając z iptables w NND. Również miałem na freesco zrobiony zestaw dhcp+arp+ipfwadm.
Czy w NND zmian nalezy dokonywać w pliku /etc/iptables/*firewall?
przeglądam tak sobie ten plik i nie bardzo wiem gdzie dopisać bałwan jestem blokujące. Jeszcze jakby ktoś mógł napisać takie bałwan jestem byłoby super.
Jedyne miejsce w którym mi sie wydaje ze mozna by to napisać to
"#wszystkie połączenia z innych interfejsów niż interfejs do internetu pozwalamy"
no i chyba po tym
i przed "#i maskujemy"
Z tego co widze Aszej tego dokonał.
Czy mógłby sie kolega podzielić z nami.
Dzięki.
Autor:  Aszej [ środa, 5 stycznia 2005, 12:48 ]
Tytuł: 
Zapomniałem dodać, że używam NND kwietniowego...

Jak już pisałem edytujemy etc/dhcpd.conf i wpisujemy nasze komputery oraz ustawiamy range na zakres z którego nie będziemy korzystać

# Plik konfiguracyjny demona dhcpd
ddns-update-style=ad-hoc;
option domain-name "xxx";
option domain-name-servers 194.204.159.1, 194.204.152.34;
option subnet-mask 255.255.255.0;
default-lease-time 21600;
max-lease-time 86400;
subnet 192.168.1.0
netmask 255.255.255.0 {
range 192.168.1.20 192.168.1.21;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
}
#
host komp1 {
hardware ethernet 00:50:04:B0:CB:49;
fixed-address 192.168.1.2;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
}
#
host komp2 {
hardware ethernet 00:0A:E6:85:E7:F6;
fixed-address 192.168.1.3;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
}
#
itd.

dalej używając firewalla Zciecha blokuję zakres range w moim przypadku 192.168.1.20 192.168.1.21 używając konfiguracji automatycznej czy ręcznie edytując etc/firewall/IP_Redirect
# Blokada dostepu do internetu
# Proby polaczenia sie z jakimkolwiek adresem z zewnatrz sieci
# powoduja wyswietlenie strony www z informacja o zablokowaniu
# dostepu do internetu.
# IP lokalny
# 192.168.172.170
192.168.1.20
192.168.1.21

i to by było na tyle, ten kto miał dostać internet dostanie z dhcp, komputery z innymi mac-ami dostaną zakres range tj. 192.168.1.20 192.168.1.21 i od razu na firewallu zostają zablokowane. Jest to dobry sposób na osoby które zalegają z płatnościami, wystarczy dopisać je do IP_Redirect i zresetować firewall-a.
Pozdrawiam
Autor:  ernidok [ środa, 5 stycznia 2005, 14:45 ]
Tytuł: 
sposób zapewne bardzo dobry, ale czy do tego trzeba mieć proxy czy jakieś przekierowania. ja mam narazie gołe nnd z listopada.
gdzie moge znaleźć firewalla zciecha, jeżeli nie jest zaimplementowany w dystrybucje. czy trzeba przerobic jakos ten co jest? mam dopiero tydzień NND :?:
i uparłem sie na zrobienie tego sposobem podobnym jak to na freesco z ipfwadm było.
Autor:  Koriolan [ środa, 5 stycznia 2005, 17:41 ]
Tytuł: 
xmaster pisze:
Adrian pisze:
...a zapomniałem przecież ten ktoś musiał by jeszcze dopisać a /etc/ethers swoje IP i MAC ale przecież każdy zna hasło roota :)....


Ja też chcę się posprzeczać :-)

Nic sobie nie musi dopisywać do ethers :-)
'arp -f ' NIE BLOKUJE niewpisanych IP - MAC.
Sorry za podkreślenie, ale juz kilkakrotnie na forum ludziom się to merdało...

Czyli jak masz wpisany IP-MAC do ethers to jak zmienisz IP na NIEWPISANY do ethers to uzyskasz połaczenie do routera a może i do internetu (to już zależy od routera iptables itp.)

Używacie też skrótu net. Jeśli to 'sieć lokalna' to zabronienie podłaczenia się do niej jest praktycznie niemożliwe (pomijam przypadek zastosowania switchy zarządzalnych i innych drogich wynalazków). Nie obejmuje to oczywiscie systuacji gdy hakier chce coś od nas uzyskać - internet, www, itp. bo spokojnie możemy mu nie dać. Opisuje sytuację gdy dwóch gości na koncu naszej sieci kablowej postanowi po cichu wymienić sie filmami i jak im tego ZABRONIĆ.
Autor:  Maciek [ środa, 5 stycznia 2005, 20:15 ]
Tytuł: 
Nie chce mi się dogłębnie studiować całego wątku, ale rozumiem, że chodzi o to aby tylko niektóre komputery miały dostęp do netu.
Mozna to zrobić analogicznie jak we Freesco, zabronić wszystkim, potem uwolnić niektóre IP i wpisac je do dhcpd.conf. Pozostałe będą miały dostęp do sieci, a nie będą miały dostępu do netu.
Czyli wszystko zawiera sie w regułkach iptables.
Autor:  Anonymous [ środa, 5 stycznia 2005, 23:56 ]
Tytuł: 
i wlasnie o to mi chodzi co napisal Maciek. tzn. o bałwan jestem ktore by blokowaly dostep do netu wszystkim (od 192.168.1.2 do 192.168.1.254) a nastepne odblokowywaly wybranym ip (np. 192.168.1.2,...3,...,....7)
tylko jak takie bałwan jestem iptables maja wygladac. w ipfwadm jeszcze sie orientowalem ale przy iptables prawie nic.
wiec jezeli ktos moze to niech napisze takie bałwan jestem.
TIA

Pozdrawiam
Autor:  ernidok [ czwartek, 6 stycznia 2005, 10:23 ]
Tytuł: 
przyszło mi coś takiego do głowy.
przynajmniej było tak z dostępem przez ssh z zewnątrz.
założeniem tego firewalla jest DROP'owanie wszystkiego na początku.
no to w jakiejs sekcji trzeba by było dopisać tylko IP które mają mieć dostęp, bo drop jest na samym początku.
tak mi sie tylko wydaje. jeszcze nie testowalem. jutro podziele sie wynikem testów.
Autor:  D@Ro [ wtorek, 11 stycznia 2005, 11:30 ]
Tytuł: 
Maciek czy możesz dokładniej ? tak dla laika
Autor:  Koriolan [ wtorek, 11 stycznia 2005, 11:51 ]
Tytuł: 
Najprościej ( jak masz NN ) to załadować firewalla zCiecha :
http://www.reliserv.pl/nnd/ lub
http://www.pitsoft.pl/nnd/
Ten firewall 'automatycznie' dopuszcza TYLKO tych co są WPISANI w '/etc/hosts'.
Tych co masz w 'hosts' wpisujesz w '/etc/ethers' parami IP-MAC i w /etc/rc.d/local wpisujesz komendę 'arp -f'. Można też się wspomóc skryptami 'arp' z 'reliserv'.

Ja ponad to mam jeszce uruchomiony systemik który wysyła mi mailem info o każdym źle skonfigurowanym kompie ( IP-MAC ) tzn. informuje mnie o obcych komputerach lub źle skonfigurowanych MAC z nie tym co trzeba IP. Nie jest zrobiona paczka więc nie nadaje się to do publikacji.
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/