Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
arp i filtracja mac http://forum.freesco.pl/viewtopic.php?f=24&t=11590 |
Strona 1 z 2 |
Autor: | markcom [ czwartek, 9 marca 2006, 23:18 ] |
Tytuł: | arp i filtracja mac |
Witam Opiszę co zrobiłem: W pliku ethers dodałem wszystkie IP i MAC, całą pulę i przy nieużywanych podałem wymyślone mac adresy. Ponieważ chciałem by dhcp przydzielało stałe adresy zapłotkowałem Range w dhcpd.conf i usunąłem # przy ip z których korzystam. I teraz mam tak, że dhcp działa ok przypisuje wybrane adresy ale jak wpiszę w ustawieniach k. sieciowej ip ręcznie inny niż jest przypisany przez dhcp to mam dostęp do sieci. Siedzę już dłuższy czas i niewiem jak to skonfigurować by dostęp do serwera miały tylko podane MAC. |
Autor: | marask [ czwartek, 9 marca 2006, 23:29 ] |
Tytuł: | |
a arp -f zrobiłeś? -_- |
Autor: | markcom [ piątek, 10 marca 2006, 00:24 ] |
Tytuł: | |
tak; zrobiłem zastanawiam się nad zrobieniem wpisów całej puli adresów do dhcpd.conf z wymyślonymi mac ale nie wiem czy to pomoże? w ethers mam tak: 192.168.0.2 00:50:BA:3E:76:8B #MSI PCMCIA Sony 192.168.0.3 00:13:D3:68:46:61 #Sony Vaio Lan 192.168.0.4 08:00:46:5C:2E:1F #Dom 192.168.0.5 00:04:76:DE:FB:90 #ZyAir200 USB 192.168.0.6 00:A0:C5:15:3A:26 192.168.0.7 01:02:03:04:05:06 192.168.0.8 01:02:03:04:05:aa 192.168.0.9 01:02:03:04:05:06 itd do 254 a w dhcpd.conf # /etc/dhcp.conf # Plik konfiguracyjny deamona dhcpd ddns-update-style=ad-hoc; option domain-name ""; option domain-name-servers 194.204.159.1, 194.204.152.34; option subnet-mask 255.255.255.0; default-lease-time 21600; max-lease-time 86400; #Jeżeli chcesz dodać statyczne wpisy dla komputerów #musisz zmieni przedział podany przy zmiennej range #tak aby komputery ze stałym IP nie zawierały się w przedziale subnet 192.168.0.0 netmask 255.255.255.0 { #range 192.168.0.50 192.168.0.51; #Zakres przydzielanych adresów option broadcast-address 192.168.0.255; #Adres rozgłoszeniowy option routers 192.168.0.1; #Brama domy¶lna authoritative; } host Warsztat { hardware ethernet 00:50:BA:3E:76:8B; fixed-address 192.168.0.2; option broadcast-address 192.168.0.255; option routers 192.168.0.1; } host MSI_PCMCIA { hardware ethernet 00:13:D3:68:46:61; fixed-address 192.168.0.3; option broadcast-address 192.168.0.255; option routers 192.168.0.1; } host Sony_Vaio_LAN { hardware ethernet 08:00:46:5C:2E:1F; fixed-address 192.168.0.4; option broadcast-address 192.168.0.255; option routers 192.168.0.1; } host Dom { hardware ethernet 00:04:76:DE:FB:90; fixed-address 192.168.0.5; option broadcast-address 192.168.0.255; option routers 192.168.0.1; } host ZyAir200_USB { hardware ethernet 00:A0:C5:15:3A:26; fixed-address 192.168.0.6; option broadcast-address 192.168.0.255; option routers 192.168.0.1; } [/list] |
Autor: | hx [ piątek, 10 marca 2006, 00:32 ] |
Tytuł: | |
Cytuj: zastanawiam się nad zrobieniem wpisów całej puli adresów do dhcpd.conf z wymyślonymi mac ale nie wiem czy to pomoże nie Cytuj: tak; zrobiłem
nie zrobiłeś albo coś spitoliłeś |
Autor: | markcom [ piątek, 10 marca 2006, 00:37 ] |
Tytuł: | |
wiem, że coś spitoliłem tylko nie mogę dojść co |
Autor: | hx [ piątek, 10 marca 2006, 10:21 ] |
Tytuł: | |
masz problem z arpem nie z dhcpd !! wklej kawałek pliku ethers i napisz gdzie wpisałeś arp -f |
Autor: | markcom [ piątek, 10 marca 2006, 22:00 ] |
Tytuł: | |
kawałek ethers wkleiłem w poście powyżej, a arp -f wpiuję w putty z roota w /etc/rc.d/rc.local mam dopisane: #Start ARP if [ -x /sbin/arp ]; then /sbin/arp -f fi i dzisiaj restartowałem serwer i dalej wchodzą obce mac`i Jeszcze dodam, że wcześniej gdy nie miałem jeszcze pliku ethers to jak wpisałem arp to mi podawał jakie mac aktualnie są w sieci a teraz wywala mi całą listę z ethers i nie wiem czy tak ma być? |
Autor: | hx [ piątek, 10 marca 2006, 23:59 ] |
Tytuł: | |
markcom pisze: k
Jeszcze dodam, że wcześniej gdy nie miałem jeszcze pliku ethers to jak wpisałem arp to mi podawał jakie mac aktualnie są w sieci a teraz wywala mi całą listę z ethers i nie wiem czy tak ma być? tak ma być a na jakie ip te obce macki wchodzą ? |
Autor: | adamol [ sobota, 11 marca 2006, 00:09 ] |
Tytuł: | |
Wpisane ręcznie napisał. |
Autor: | markcom [ sobota, 11 marca 2006, 00:53 ] |
Tytuł: | |
ok @hx naprowadziłeś mnie na problem. Jak podałem wyżej w pliku ethers doszedłem, że MACi wpisane ręcznie działają i na ten IP arp nie da neta ale problem jest z tymi 01:02:03:04:05:06 dopisywałem je przez F3 "zaznacz" i F5 "skopiuj" i na tych macach mi puszcza. To tak na szybkiego jutro sprawdzę dokładnie. Teraz pytanko czym edytujecie te pliki? bo nie widzi mi się całej puli wpisywać ręcznie a zer wcześniej też nie chciałem. |
Autor: | polaczeek [ niedziela, 12 marca 2006, 14:32 ] |
Tytuł: | |
Witam. Gdzies na formu jest skrypt do robienia automatycznego tworzenia pliku ethers,wystarczy poszukac ![]() |
Autor: | hx [ niedziela, 12 marca 2006, 19:25 ] |
Tytuł: | |
pozostałe ip ma blokować firewall a nie arp arp nie jest do blokowania !!!! |
Autor: | tasiorek [ niedziela, 12 marca 2006, 19:26 ] |
Tytuł: | |
hx pisze: pozostałe ip ma blokować firewall a nie arp od tego jest maskarada
Maskarada zablokujesz tylko przekazywanie pakietow, a nie dostep do serwera. Trzeba by jeszcze dodawac reguly na INPUT, a w arp zalarwiasz to szybko i skutecznie. |
Autor: | markcom [ poniedziałek, 13 marca 2006, 00:14 ] |
Tytuł: | |
Witam narazie firewalla zostawiam bo jeszcze nie jestem tak kumaty:) (ale doczytam tą kwestie) nnd mam dwa tygodnie i wcześniej z linuxem nie miałem styczności. Myślę, że arp spokojnie mi narazie styknie i potwierdzam to co pisałem w poprzednim poście, że jak wpisywałem maca przez kopiuj to można na te ip wchodzić z każdym mac, a zerowych mac nie chciałem bo dzisiaj znowu mi się ktoś wbijał do ap z takim mac. |
Autor: | hx [ poniedziałek, 13 marca 2006, 10:23 ] |
Tytuł: | |
a wiesz jak łatwo podmienić mac bede sie upierał przy firewallu |
Autor: | tasiorek [ poniedziałek, 13 marca 2006, 11:54 ] |
Tytuł: | |
hx pisze: a wiesz jak łatwo podmienić mac
bede sie upierał przy firewallu Ale wiekszosc tego na szczescie nie wie. A tak przy okazji, to jaka ochrone przez nieautoryzowanym dostepem daje firewall, skoro gosc moze sobie zmienic mac? |
Autor: | zciech [ poniedziałek, 13 marca 2006, 12:16 ] |
Tytuł: | |
tasiorek pisze: hx pisze: a wiesz jak łatwo podmienić mac bede sie upierał przy firewallu Ale wiekszosc tego na szczescie nie wie. A tak przy okazji, to jaka ochrone przez nieautoryzowanym dostepem daje firewall, skoro gosc moze sobie zmienic mac? Zadnej. Potrzebna jest jeszcze socjalistyczna czujnośc userów, ktorzy natychmiast daja znac adminowi w przypadku kłopotow z dostępem do serwera. Mozesz zrobic kawalek pliku rejestru win XP zmieniajacy TTL win XP na dowolna inna liczbe a nie 128 (dla linuxa tez jest metoda zmiany TTL) i to rozdac wszystkim userom i do serwera wpuszczac klientow tylko z takim TTL, a tych z innym TTL przekierowywac na strone z informacja o koniecznosci kontaktu z adminem. ![]() |
Autor: | tasiorek [ poniedziałek, 13 marca 2006, 12:30 ] |
Tytuł: | |
Znowu wystarczy puscic ping do klienta i juz mamy jego ttl. Jak ktos chce miec bezpieczna siec, to inaczej niz szyfrowana autoryzacja, albo zarzadzalnymi switchami nie da rady. |
Autor: | jahu [ sobota, 18 marca 2006, 22:45 ] |
Tytuł: | |
Pytanko: W messages wyswietlilo: Mar 18 20:02:53 router_hutnet dhcpd: DHCPINFORM from 10.10.10.17 via eth1: not auth oritative for subnet 10.10.10.0 Mar 18 20:02:53 router_hutnet dhcpd: If this DHCP server is authoritative for that subnet, Mar 18 20:02:53 router_hutnet dhcpd: please write an `authoritative;' directive eit her in the Mar 18 20:02:53 router_hutnet dhcpd: subnet declaration or in some scope that encloses the Mar 18 20:02:53 router_hutnet dhcpd: subnet declaration - for example, write it at the top Mar 18 20:02:53 router_hutnet dhcpd: of the dhcpd.conf file. Wyczytalem ze dopisac w dhcp.conf po: option routers 10.10.10.254; #Brama domyslna linijke: authoritative; Tylko moglby mi ktos wytlumaczyc czemu tylko przy niektorych ip wyswietlalo ten komunikat logach? Rozumiem z tego tekstu tyle ze jesli serwer ma byc jedynym dhcp w danej sieci to wpisac authoritative. Ale dlaczego tylko niektore ip tak traktowal? |
Autor: | kozik132 [ piątek, 31 marca 2006, 00:29 ] |
Tytuł: | |
ja zrobilem to kiedys i mi dziala wszystko ok jak ktos sobie przypisze recznie inne ip to nie ma neta moj conf wyglada tak najpierw zrobilem plik /etc/ethers nadalem mu prawa do wykonywalnosci i w nim wpisalem tak 192.168.0.2 00:60:97:D0:8F:67 192.168.0.5 00:0C:6E:3D:C4:3B 192.168.0.6 00:0C:76:CA:15:66 192.168.0.9 00:50:8B:04:5F:5E 192.168.0.11 00:13:46:B1:D9:E9 192.168.0.12 00:14:85:B7:4F:8A 192.168.0.13 00:30:4F:39:44:C3 192.168.0.40 00:0B:6A:69:E5:0C nastepnie skonfigurowalem /etc/dhcpd.conf # /etc/dhcp.conf # Plik konfiguracyjny deamona dhcpd ddns-update-style=ad-hoc; option domain-name "MSHOME"; option domain-name-servers 194.204.159.1, 194.204.152.34; option subnet-mask 255.255.255.0; default-lease-time 21600; max-lease-time 86400; #Jeżeli chcesz dodać statyczne wpisy dla komputerów #musisz zmieni przedział podany przy zmiennej range #tak aby komputery ze stałym IP nie zawierały się w przedziale subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.2 192.168.0.40; #Zakres przydzielanych adresów option broadcast-address 192.168.0.255; #Adres rozgłoszeniowy option routers 192.168.0.1; #Brama domyślna authoritative; } #host Kozik { #hardware ethernet 00:60:97:D0:8F:67; #fixed-address 192.168.0.2; #option broadcast-address 192.168.0.2; #option routers 192.168.0.1; #} #host Pater { #hardware ethernet 00:0C:6E:3D:C4:3B; #fixed-address 192.168.0.3; #option broadcast-address 192.168.0.3; #option routers 192.168.0.1; #} #host Renek { #hardware ethernet 00:0C:76:CA:15:66; #fixed-address 192.168.0.6; #option broadcast-address 192.168.0.6; #option routers 192.168.0.1; #} #host Robert { #hardware ethernet 00:50:8B:04:5F:5E; #fixed-address 192.168.0.9; #option broadcast-address 192.168.0.9; #option routers 192.168.0.1; #} #host Nowicol { #hardware ethernet 00:13:46:B1:D9:E9; #fixed-address 192.168.0.11; #option broadcast-address 192.168.0.11; #option routers 192.168.0.1; #} #host Kuneś ( #hardware ethernet 00:14:85:B7:4F:8A #fixed-address 192.168.0.12; #option broadcast-address 192.168.0.12; #option routers 192.168.0.1; #) #host Żak ( #hardware ethernet 00:30:4F:39:44:C3 #fixed-address 192.168.0.13; #option broadcast-address 192.168.0.13; #option routers 192.168.0.1; #) #host Karolina { #hardware ethernet 00:0B:6A:69:E5:0C; #fixed-address 192.168.0.40; #option broadcast-address 192.168.0.40; #option routers 192.168.0.1; #} a potem wpisalem w konsole arp -f i wszystko dziala jak nalezy ![]() |
Strona 1 z 2 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |