A jak chcesz zablokowac komus dostep do LANu na serwerze (chyba ,ze kazdego podepiniesz do osobnej sieciowki
)? Mozesz mu wypiac wtyczke ze switcha, albo kupic zarzadzalne switche z filtracja po ip.
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Jak wyłączyć 1 adres z DHCP?? http://forum.freesco.pl/viewtopic.php?f=24&t=10061 |
Strona 1 z 1 |
| Autor: | komati [ poniedziałek, 28 listopada 2005, 11:34 ] |
| Tytuł: | Jak wyłączyć 1 adres z DHCP?? |
Witam Mam skonfigurowane dhcpd na sztywno, po mac'ach, ale w czesci pierwszej pliku, jest zakres adresów, które dhcpd przydzieli do kompow. Ja nie potrzebuje tego zakresu, bo wszystkie sa nizej wklepane, ale jak zahaszowalem linie range, to po restarcie dhcpd wywala blad, wiec zostawilem tylko jeden adres xxx.xxx.xxx.3. I wsio jest oki, tylko ze ktos moze sobie wpisac na sztywno ta koncowke, to wejdzie w lan, do netu nie bo nie mam na ten adres maskarady, ale jest w lanie. Co zrobic, zeby dhcpd dzialal, ale nie pilnowal i nie przydzielal tego jednego adresu? czy w range wpisac zakres z ip przydzielanych na sztywno? Mam arp, ethers ip<>mac. |
|
| Autor: | tasiorek [ poniedziałek, 28 listopada 2005, 12:39 ] |
| Tytuł: | |
Nawet jak nie bedzie tego adresu w dhcp i ktos go sobie wpisze, to bedzie mial dostep do LANu. |
|
| Autor: | komati [ poniedziałek, 28 listopada 2005, 12:47 ] |
| Tytuł: | |
tak? to jak to uszczelnic? |
|
| Autor: | tasiorek [ poniedziałek, 28 listopada 2005, 13:08 ] |
| Tytuł: | |
A jak chcesz zablokowac komus dostep do LANu na serwerze (chyba ,ze kazdego podepiniesz do osobnej sieciowki )? Mozesz mu wypiac wtyczke ze switcha, albo kupic zarzadzalne switche z filtracja po ip.
|
|
| Autor: | Lismulder [ sobota, 3 grudnia 2005, 00:32 ] |
| Tytuł: | |
tasiorek pisze: A jak chcesz zablokowac komus dostep do LANu na serwerze (chyba ,ze kazdego podepiniesz do osobnej sieciowki
)? Mozesz mu wypiac wtyczke ze switcha, albo kupic zarzadzalne switche z filtracja po ip.Można również zastosować filtrację na arpie. Ja tak mam i nie stanowi to żadnego problemu, działa to bardzo "szczelnie" wpuszcza do serwera tylko określone mac'i. Można również zrobić maskaradę dla określonych mac'ów. Wszystko można zrobić z poziomu NND. |
|
| Autor: | tasiorek [ sobota, 3 grudnia 2005, 00:49 ] |
| Tytuł: | |
Lismulder pisze: Można również zastosować filtrację na arpie. Ja tak mam i nie stanowi to żadnego problemu, działa to bardzo "szczelnie" wpuszcza do serwera tylko określone mac'i. Można również zrobić maskaradę dla określonych mac'ów. Wszystko można zrobić z poziomu NND.
Tez stosuje ten sposob, bo na zarzadzalne switche narazie nie mam funduszy, ale jest on bardzo latwy do obejscia. Wystarczy ze uzyszkodnik, ktory chce cos mieszac zna MAC innej osoby, a dowiedziec sie jaki kto ma MAC nie jest zadnym problemem. |
|
| Autor: | Bolo_B [ niedziela, 4 grudnia 2005, 22:42 ] |
| Tytuł: | |
No niestety ARP nic nie da w przypadku sieci lokalnej. Jak ktos sie uprze to przeciez kapnie sie jaki jest adres sieci i maska a Ip to sobie sam przydzieli "z palca"  I nic mu nie przeszkodzi miec lan i laczyc sie z innymi userami. Byla mowa o zarzadzalnych switchach i jest to najlepsze rozwiazanie lecz nie jedyne. Dobrym sposobem, w przypadku aby nikt obcy z poza sieci nie dostal sie do tzw. otoczenia sieciowego, jest zastosowanie domeny czyli trzeba by nakazac userom do logowania sie do Active Directory czy w przypadku linuxa do samby. Bez zalogowania przy dobrej konfiguracji nikt nie dostanie sie do sieci. Mozna nawet troszke zamieszac w winsach i po zabawie
|
|
| Autor: | tasiorek [ niedziela, 4 grudnia 2005, 23:59 ] |
| Tytuł: | |
Otoczenie sieciowe w ten sposob zablokujesz, ale nie LAN. Gry sieciowe i komunikatory (np. rivchat) dalej beda dzialaly. |
|
| Autor: | Bolo_B [ poniedziałek, 5 grudnia 2005, 10:21 ] |
| Tytuł: | |
I z tym sie zgodze. Jak widac z przebiegu watku pozostaje kupic switch zarzadzalny albo wynajac kobiete w rodzaju babci klozetowej ktora bedzie sledzila wpisy arpa i odpowiednio reagowala poprzez wyciaganie wtyczki ze switcha.
Cytuj: Co zrobic, zeby dhcpd dzialal, ale nie pilnowal i nie przydzielal tego jednego adresu? czy w range wpisac zakres z ip przydzielanych na sztywno?
Wiec coz drogi komati mamy ci poradzic? No napewno nie przydzilelaj adresow z puli range takich samych jak adresy statyczne bo wyobraz sobie taka sytuacje - jeden z kolegow "A" ma pelne prawa do netu i ma swoj ip lech nie wlaczyl w danej chwili komputera lecz drugi kolega "B" nie ma prawa do netu ale stwierdzil ze co sie bedzie szczypal bo umowil sie na mala partyjke po sieci w diablo z innymi userami sieci wiec wlacza se kompa a ze ma kabelek to tym bardziej siec mu sie nalezy. Dhcp jako ze ma nakazane rozdawac ip tym co go o to spytaja sprawdza czy kolo ma statyczny wpis i stwierdza ze nie. Nastepnie patrzy na wpisy w dhcp.leases (chyba jakos tak sie to nazywa) bo tam sa powpisywane jakie juz rozdal dynamiczne i wie kiedy sie konczy dzierzawa. i stwierdza ze np. ma wolny dynamiczny pokrywajacy sie z ip tego kolegi "A" co akurat wylaczyl komputer. No niestety to jest tylko maszyna i robi tak jak sie ja zaprogramuje wiec daje ten IP kolegi "A" koledze "B". No i zaczyna sie wtedy jazda. Bo jezeli kolega "A" wlaczy komputer (bo przypomnial sobie ze mu sie nie dociagnelo kilka rzeczy na DC a mama nie patrzy ze on siedzi przy kompie wiec moze poszalec) a kolega "B" wciaz gra (bo jeszcze nie dotarli do samego diablo) to dhcp patrzy ze wpis statyczny jaki sie nalezy koledze "A" jest zajety no i zeby nie wywolac komnfliktu w sieci daje jakis kolejny adres dynamiczny ale juz kolegi "C" bo tez sie pokrywa. Jednak to jeszcze nic! Po tym jak kolega "A" otrzymuje IP kolegi "C" (wlacza mu sie wingroza wraz z DC ktory sie laczy z netem) jego pakieciki wedruja do serwera no i tam oczywiscie pieknie i ladnie czeka na nie bezlitosny ARP stwierdzajacy niezgodnosc adresu z MAC. Prawda jest smutna bo ani gg ani DC nie zadziala i pierwsze co robi kolega "A" - biegnie do administratora i mowi "#$%^&&%%*()(&^$%$#$%%%$&" po czym administrator zielenieje bo nie wie o co chodzi wiec mu mowi ze wieczorem napewno bedzie dzialac. Pod wieczor administrator dostaje szalu, wypisuje na forum ze ma noz na gardle i mysli ze mu nikt nie chce pomoc. Ale najlepsze jest to ze jak przyjda wszyscy i pech pedzie chcial ze powlaczaja kompy w taki sposob ze dhcp im przydzieli inne ip to bedzi istny lincz. Na koniec administrator wyleje swoja zlosc na moderatorach i PGF na forum ze co oni mu zrobili ze wszystko jest do bani a ten dhcp to jakas porazka. No ale uparci "wyjadacze" freesco powiedza no przeciez bez dhcp to nie da sie zyc a on aki wspanialy i nie trzeba biegac po domach i uswiadamiac uzystkownikow, ze maja jakies cyfreki wpisywac ze brama domyslna to nie numer klatki schodowej a maska to nie moze byc byle jaka ze ten internet to nie taka latwa sprawa. A biedny dhcp jak jest dobrze ustawiony to daje to wszystko w mrugnieciu oka i jak admin ma kaprys to zmieni userom IP a oni nawet tego nie zauwaza. Co ja tu bede wielce pisal  lepiej wiedziec jakich obcych IP sie spodziewac, a zablokowac to i tak tego nie zablokujesz 
|
|
| Autor: | komati [ poniedziałek, 5 grudnia 2005, 11:00 ] |
| Tytuł: | |
Dziękuję Wam wszystkim za zainteresowanie i pomoc. Gdyby nie Wy, dalej bym błądził po omacku i się stresował. Wdrażam wszystkie Wasze rady w życie. Jeszcze raz BIG THX!!!!! 
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|