Freesco, NND, CDN, EOS
http://forum.freesco.pl/

arp i filtracja mac
http://forum.freesco.pl/viewtopic.php?f=24&t=11590
Strona 1 z 2

Autor:  markcom [ czwartek, 9 marca 2006, 23:18 ]
Tytuł:  arp i filtracja mac

Witam
Opiszę co zrobiłem:
W pliku ethers dodałem wszystkie IP i MAC, całą pulę i przy nieużywanych podałem wymyślone mac adresy. Ponieważ chciałem by dhcp przydzielało stałe adresy zapłotkowałem Range w dhcpd.conf i usunąłem # przy ip z których korzystam. I teraz mam tak, że dhcp działa ok przypisuje wybrane adresy ale jak wpiszę w ustawieniach k. sieciowej ip ręcznie inny niż jest przypisany przez dhcp to mam dostęp do sieci.
Siedzę już dłuższy czas i niewiem jak to skonfigurować by dostęp do serwera miały tylko podane MAC.

Autor:  marask [ czwartek, 9 marca 2006, 23:29 ]
Tytuł: 

a arp -f zrobiłeś? -_-

Autor:  markcom [ piątek, 10 marca 2006, 00:24 ]
Tytuł: 

tak; zrobiłem
zastanawiam się nad zrobieniem wpisów całej puli adresów do dhcpd.conf z wymyślonymi mac ale nie wiem czy to pomoże?
w ethers mam tak:
192.168.0.2 00:50:BA:3E:76:8B
#MSI PCMCIA Sony
192.168.0.3 00:13:D3:68:46:61
#Sony Vaio Lan
192.168.0.4 08:00:46:5C:2E:1F
#Dom
192.168.0.5 00:04:76:DE:FB:90
#ZyAir200 USB
192.168.0.6 00:A0:C5:15:3A:26
192.168.0.7 01:02:03:04:05:06
192.168.0.8 01:02:03:04:05:aa
192.168.0.9 01:02:03:04:05:06
itd do 254
a w dhcpd.conf
# /etc/dhcp.conf

# Plik konfiguracyjny deamona dhcpd


ddns-update-style=ad-hoc;
option domain-name "";
option domain-name-servers 194.204.159.1, 194.204.152.34;
option subnet-mask 255.255.255.0;
default-lease-time 21600;
max-lease-time 86400;

#Jeżeli chcesz dodać statyczne wpisy dla komputerów
#musisz zmieni przedział podany przy zmiennej range
#tak aby komputery ze stałym IP nie zawierały się w przedziale
subnet 192.168.0.0 netmask 255.255.255.0 {
#range 192.168.0.50 192.168.0.51; #Zakres przydzielanych adresów
option broadcast-address 192.168.0.255; #Adres rozgłoszeniowy
option routers 192.168.0.1; #Brama domy¶lna
authoritative;
}

host Warsztat {
hardware ethernet 00:50:BA:3E:76:8B;
fixed-address 192.168.0.2;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}

host MSI_PCMCIA {
hardware ethernet 00:13:D3:68:46:61;
fixed-address 192.168.0.3;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}

host Sony_Vaio_LAN {
hardware ethernet 08:00:46:5C:2E:1F;
fixed-address 192.168.0.4;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}

host Dom {
hardware ethernet 00:04:76:DE:FB:90;
fixed-address 192.168.0.5;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}


host ZyAir200_USB {
hardware ethernet 00:A0:C5:15:3A:26;
fixed-address 192.168.0.6;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}
[/list]

Autor:  hx [ piątek, 10 marca 2006, 00:32 ]
Tytuł: 

Cytuj:
zastanawiam się nad zrobieniem wpisów całej puli adresów do dhcpd.conf z wymyślonymi mac ale nie wiem czy to pomoże

nie
Cytuj:
tak; zrobiłem

nie zrobiłeś albo coś spitoliłeś

Autor:  markcom [ piątek, 10 marca 2006, 00:37 ]
Tytuł: 

wiem, że coś spitoliłem tylko nie mogę dojść co

Autor:  hx [ piątek, 10 marca 2006, 10:21 ]
Tytuł: 

masz problem z arpem nie z dhcpd !!


wklej kawałek pliku ethers i napisz gdzie wpisałeś arp -f

Autor:  markcom [ piątek, 10 marca 2006, 22:00 ]
Tytuł: 

kawałek ethers wkleiłem w poście powyżej, a arp -f wpiuję w putty z roota
w /etc/rc.d/rc.local mam dopisane:
#Start ARP
if [ -x /sbin/arp ]; then
/sbin/arp -f
fi
i dzisiaj restartowałem serwer i dalej wchodzą obce mac`i
Jeszcze dodam, że wcześniej gdy nie miałem jeszcze pliku ethers to jak wpisałem arp to mi podawał jakie mac aktualnie są w sieci a teraz wywala mi całą listę z ethers i nie wiem czy tak ma być?

Autor:  hx [ piątek, 10 marca 2006, 23:59 ]
Tytuł: 

markcom pisze:
k
Jeszcze dodam, że wcześniej gdy nie miałem jeszcze pliku ethers to jak wpisałem arp to mi podawał jakie mac aktualnie są w sieci a teraz wywala mi całą listę z ethers i nie wiem czy tak ma być?


tak ma być
a na jakie ip te obce macki wchodzą ?

Autor:  adamol [ sobota, 11 marca 2006, 00:09 ]
Tytuł: 

Wpisane ręcznie napisał.

Autor:  markcom [ sobota, 11 marca 2006, 00:53 ]
Tytuł: 

ok @hx naprowadziłeś mnie na problem.
Jak podałem wyżej w pliku ethers doszedłem, że MACi wpisane ręcznie działają i na ten IP arp nie da neta ale problem jest z tymi 01:02:03:04:05:06 dopisywałem je przez F3 "zaznacz" i F5 "skopiuj" i na tych macach mi puszcza. To tak na szybkiego jutro sprawdzę dokładnie.
Teraz pytanko czym edytujecie te pliki? bo nie widzi mi się całej puli wpisywać ręcznie a zer wcześniej też nie chciałem.

Autor:  polaczeek [ niedziela, 12 marca 2006, 14:32 ]
Tytuł: 

Witam. Gdzies na formu jest skrypt do robienia automatycznego tworzenia pliku ethers,wystarczy poszukac :)

Autor:  hx [ niedziela, 12 marca 2006, 19:25 ]
Tytuł: 

pozostałe ip ma blokować firewall a nie arp
arp nie jest do blokowania !!!!

Autor:  tasiorek [ niedziela, 12 marca 2006, 19:26 ]
Tytuł: 

hx pisze:
pozostałe ip ma blokować firewall a nie arp od tego jest maskarada

Maskarada zablokujesz tylko przekazywanie pakietow, a nie dostep do serwera. Trzeba by jeszcze dodawac reguly na INPUT, a w arp zalarwiasz to szybko i skutecznie.

Autor:  markcom [ poniedziałek, 13 marca 2006, 00:14 ]
Tytuł: 

Witam
narazie firewalla zostawiam bo jeszcze nie jestem tak kumaty:) (ale doczytam tą kwestie) nnd mam dwa tygodnie i wcześniej z linuxem nie miałem styczności.
Myślę, że arp spokojnie mi narazie styknie i potwierdzam to co pisałem w poprzednim poście, że jak wpisywałem maca przez kopiuj to można na te ip wchodzić z każdym mac, a zerowych mac nie chciałem bo dzisiaj znowu mi się ktoś wbijał do ap z takim mac.

Autor:  hx [ poniedziałek, 13 marca 2006, 10:23 ]
Tytuł: 

a wiesz jak łatwo podmienić mac

bede sie upierał przy firewallu

Autor:  tasiorek [ poniedziałek, 13 marca 2006, 11:54 ]
Tytuł: 

hx pisze:
a wiesz jak łatwo podmienić mac

bede sie upierał przy firewallu

Ale wiekszosc tego na szczescie nie wie. A tak przy okazji, to jaka ochrone przez nieautoryzowanym dostepem daje firewall, skoro gosc moze sobie zmienic mac?

Autor:  zciech [ poniedziałek, 13 marca 2006, 12:16 ]
Tytuł: 

tasiorek pisze:
hx pisze:
a wiesz jak łatwo podmienić mac

bede sie upierał przy firewallu

Ale wiekszosc tego na szczescie nie wie. A tak przy okazji, to jaka ochrone przez nieautoryzowanym dostepem daje firewall, skoro gosc moze sobie zmienic mac?

Zadnej.
Potrzebna jest jeszcze socjalistyczna czujnośc userów, ktorzy natychmiast daja znac adminowi w przypadku kłopotow z dostępem do serwera.

Mozesz zrobic kawalek pliku rejestru win XP zmieniajacy TTL win XP na dowolna inna liczbe a nie 128 (dla linuxa tez jest metoda zmiany TTL) i to rozdac wszystkim userom i do serwera wpuszczac klientow tylko z takim TTL, a tych z innym TTL przekierowywac na strone z informacja o koniecznosci kontaktu z adminem. :twisted:

Autor:  tasiorek [ poniedziałek, 13 marca 2006, 12:30 ]
Tytuł: 

Znowu wystarczy puscic ping do klienta i juz mamy jego ttl. Jak ktos chce miec bezpieczna siec, to inaczej niz szyfrowana autoryzacja, albo zarzadzalnymi switchami nie da rady.

Autor:  jahu [ sobota, 18 marca 2006, 22:45 ]
Tytuł: 

Pytanko:
W messages wyswietlilo:

Mar 18 20:02:53 router_hutnet dhcpd: DHCPINFORM from 10.10.10.17 via eth1: not auth
oritative for subnet 10.10.10.0
Mar 18 20:02:53 router_hutnet dhcpd: If this DHCP server is authoritative for that
subnet,
Mar 18 20:02:53 router_hutnet dhcpd: please write an `authoritative;' directive eit
her in the
Mar 18 20:02:53 router_hutnet dhcpd: subnet declaration or in some scope that encloses the
Mar 18 20:02:53 router_hutnet dhcpd: subnet declaration - for example, write it at the top
Mar 18 20:02:53 router_hutnet dhcpd: of the dhcpd.conf file.

Wyczytalem ze dopisac w dhcp.conf po:
option routers 10.10.10.254; #Brama domyslna
linijke:
authoritative;

Tylko moglby mi ktos wytlumaczyc czemu tylko przy niektorych ip wyswietlalo ten komunikat logach? Rozumiem z tego tekstu tyle ze jesli serwer ma byc jedynym dhcp w danej sieci to wpisac authoritative. Ale dlaczego tylko niektore ip tak traktowal?

Autor:  kozik132 [ piątek, 31 marca 2006, 00:29 ]
Tytuł: 

ja zrobilem to kiedys i mi dziala wszystko ok jak ktos sobie przypisze recznie inne ip to nie ma neta moj conf wyglada tak


najpierw zrobilem plik /etc/ethers nadalem mu prawa do wykonywalnosci i w nim wpisalem tak


: [/] [] ()
192.168.0.2 00:60:97:D0:8F:67
192.168.0.5 00:0C:6E:3D:C4:3B
192.168.0.6 00:0C:76:CA:15:66
192.168.0.9 00:50:8B:04:5F:5E
192.168.0.11 00:13:46:B1:D9:E9
192.168.0.12 00:14:85:B7:4F:8A
192.168.0.13 00:30:4F:39:44:C3
192.168.0.40 00:0B:6A:69:E5:0C


nastepnie skonfigurowalem /etc/dhcpd.conf


: [/] [] ()
# /etc/dhcp.conf

# Plik konfiguracyjny deamona dhcpd


ddns-update-style=ad-hoc;
option domain-name "MSHOME";
option domain-name-servers 194.204.159.1, 194.204.152.34;
option subnet-mask 255.255.255.0;
default-lease-time 21600;
max-lease-time 86400;

#Jeżeli chcesz dodać statyczne wpisy dla komputerów
#musisz zmieni przedział podany przy zmiennej range
#tak aby komputery ze stałym IP nie zawierały się w przedziale
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.2 192.168.0.40; #Zakres przydzielanych adresów
option broadcast-address 192.168.0.255; #Adres rozgłoszeniowy
option routers 192.168.0.1; #Brama domyślna
authoritative;
}

#host Kozik {
#hardware ethernet 00:60:97:D0:8F:67;
#fixed-address 192.168.0.2;
#option broadcast-address 192.168.0.2;
#option routers 192.168.0.1;
#}

#host Pater {
#hardware ethernet 00:0C:6E:3D:C4:3B;
#fixed-address 192.168.0.3;
#option broadcast-address 192.168.0.3;
#option routers 192.168.0.1;
#}

#host Renek {
#hardware ethernet 00:0C:76:CA:15:66;
#fixed-address 192.168.0.6;
#option broadcast-address 192.168.0.6;
#option routers 192.168.0.1;
#}

#host Robert {
#hardware ethernet 00:50:8B:04:5F:5E;
#fixed-address 192.168.0.9;
#option broadcast-address 192.168.0.9;
#option routers 192.168.0.1;
#}

#host Nowicol {
#hardware ethernet 00:13:46:B1:D9:E9;
#fixed-address 192.168.0.11;
#option broadcast-address 192.168.0.11;
#option routers 192.168.0.1;
#}

#host Kuneś (
#hardware ethernet 00:14:85:B7:4F:8A
#fixed-address 192.168.0.12;
#option broadcast-address 192.168.0.12;
#option routers 192.168.0.1;
#)

#host Żak (
#hardware ethernet 00:30:4F:39:44:C3
#fixed-address 192.168.0.13;
#option broadcast-address 192.168.0.13;
#option routers 192.168.0.1;
#)

#host Karolina {
#hardware ethernet 00:0B:6A:69:E5:0C;
#fixed-address 192.168.0.40;
#option broadcast-address 192.168.0.40;
#option routers 192.168.0.1;
#}


a potem wpisalem w konsole arp -f i wszystko dziala jak nalezy :D

Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/