Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 15:30

Strefa czasowa UTC+2godz.




Forum zablokowane Ten temat jest zamknięty. Nie można w nim pisać ani edytować postów.  [ Posty: 15 ] 
Autor Wiadomość
 Tytuł: ARP (Stare NND)
Post: piątek, 14 stycznia 2005, 14:24 
Serwerek (Stare NND) łączy moją sieć z internetem przez NEO SAGEM.
Gdy wpisuję arp -n to między innymi mam linijkę:

192.168.1.4 ether FF:FF:FF:FF:FF:FF CM eth0

eth0 - interfejs LAN
ppp0 - internet

Z tego wynika, że host 192.168.1.4 nie powinien mieć dostępu do NND
a tymczasem niedość, że ma dostęp to nawet przechodzi do internetu.
Sprawdzałem na innych hostach i gdy ustawię MAC w ethers na: FF:FF:FF:FF:FF:FF, czy jakiś inny niezgodny z prawdą to i tak jest to samo.
Jakgdyby ARP wogóle nie działało :(
Problem blokowania IP rozwiązałem na iptables na firewallu ale nie daje mi to spokuju.
Czyżby coś było nie tak z serwerkiem ?
Może ktoś zna rozwiązanie tego problemu.
Z góry dziękuję.


Na górę
  
 
 Tytuł:
Post: piątek, 14 stycznia 2005, 17:06 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Było to już nieźle 'wałkowane'....

Mogę CI napisać jeszce raz : ARP NIE BLOKUJE SIECI PRZED KOMPUTERAMI O NIEWPISANYM DO /etc/ether' "IP-MAC"

Musisz podać swój '/etc/ethers'

iNTERNET najlepiej zabezpiecza 'firewall zCiecha'

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 18 stycznia 2005, 16:23 
Wybacz ale dobrze wiedziałem, że było "TO" wałkowane.
Przeczytałem chyba wszystkie te posty.
Zanim tutaj coś piszę dokładnie szukam odpowiedzi.
Sam zajmuję się sieciami i nie lubię powtórek na forach.

Chodzi mi o to, że IP i MAC jest poprawnie wpisany w
'/etc/ethers' a mimo to pakiety przechodzą.
Wcześniej, zanim zainstalowałem sobie Statystyki zCiecha + MRTG i Apache full wszystko działało poprawnie.
Nie chodzi mi o zabezpieczenie internetu tylko dostępu do routera NND z wewnątrz sieci.

Zastanawiam się czy dokładnie przeczytałeś treść mojego pytania bo nie chciałbym się powtarzać.

arp -n pokazuje mi przypisane MAC tak jak mam wpisane
w '/etc/ethers' - to świadczy, że problem jest gdzie indziej niż w tym pliku

Wybaczcie długość ale tego chciałeś.
Oto plik '/etc/ethers' (ze zmienionymi MACami i nazwami oczywiście:
: [/] [] ()
#IP   MAC
192.168.1.2   FF:FF:FF:FF:FF:FF
# Nazwa H3
192.168.1.3   00:01:2C:97:1B:69
# H4
# 192.168.1.4   00:0D:64:1E:AF:55
192.168.1.4   FF:FF:FF:FF:FF:FF
192.168.1.5   00:01:5D:C6:F9:11
192.168.1.6   00:02:7A:B7:CA:B2
192.168.1.7   00:05:5E:E6:78:7E
192.168.1.8   00:0D:89:89:AE:FE
192.168.1.9   00:11:99:19:E7:A3
192.168.1.10   FF:FF:FF:FF:FF:FF
# H11
192.168.1.11   00:01:F1:ED:E3:12
# H_L_L
192.168.1.12   00:A1:1C:D4:D1:08
192.168.1.13   FF:FF:FF:FF:FF:FF
# L13
192.168.1.14   00:0F:1D:62:3F:E4
192.168.1.15   FF:FF:FF:FF:FF:FF
192.168.1.16   FF:FF:FF:FF:FF:FF
192.168.1.17   FF:FF:FF:FF:FF:FF
192.168.1.18   FF:FF:FF:FF:FF:FF
192.168.1.19   FF:FF:FF:FF:FF:FF
192.168.1.20   FF:FF:FF:FF:FF:FF
# M221
192.168.1.21   00:0D:18:6D:34:B7
192.168.1.22   FF:FF:FF:FF:FF:FF
192.168.1.23   FF:FF:FF:FF:FF:FF
192.168.1.24   FF:FF:FF:FF:FF:FF
192.168.1.25   00:02:5A:D3:0B:DB
192.168.1.26   FF:FF:FF:FF:FF:FF
192.168.1.27   FF:FF:FF:FF:FF:FF
192.168.1.28   FF:FF:FF:FF:FF:FF
192.168.1.29   FF:FF:FF:FF:FF:FF
192.168.1.30   FF:FF:FF:FF:FF:FF
# Y1
192.168.1.31   00:0D:58:72:CD:C9
192.168.1.32   FF:FF:FF:FF:FF:FF
192.168.1.33   FF:FF:FF:FF:FF:FF
192.168.1.34   FF:FF:FF:FF:FF:FF
192.168.1.35   FF:FF:FF:FF:FF:FF
192.168.1.36   FF:FF:FF:FF:FF:FF
192.168.1.37   FF:FF:FF:FF:FF:FF
192.168.1.38   FF:FF:FF:FF:FF:FF
192.168.1.39   FF:FF:FF:FF:FF:FF
192.168.1.40   FF:FF:FF:FF:FF:FF
# K1
192.168.1.41   00:13:95:59:E7:65
192.168.1.42   FF:FF:FF:FF:FF:FF
192.168.1.43   FF:FF:FF:FF:FF:FF
192.168.1.44   FF:FF:FF:FF:FF:FF
192.168.1.45   FF:FF:FF:FF:FF:FF
192.168.1.46   FF:FF:FF:FF:FF:FF
192.168.1.47   FF:FF:FF:FF:FF:FF
192.168.1.48   FF:FF:FF:FF:FF:FF
192.168.1.49   FF:FF:FF:FF:FF:FF
192.168.1.50   FF:FF:FF:FF:FF:FF
192.168.1.51   FF:FF:FF:FF:FF:FF
# Koniec


Przy konfiguracji podałem 50 hostów
ip serwera 192.168.1.1
w maskaradzie mam wyszczególnione hosty
192.168.1.2 do 51
192.168.1.4 ma nie mieć dostępu a mimo to ma.
Wyrzucałem też zapłotkowaną linię z poprawnym adresem MAC oraz wszystkie zapłotkowane linie z opisami ale to również nic nie dało.
Zablokowałem dostęp na iptablesach w firewallu ale może ktoś coś wymyśli innego :?:
Może ktoś wie co jest z ARP :?:
Nie chcę reinstalować serwerka.
Myślę że problem da się rozwiązać.


Na górę
  
 
 Tytuł:
Post: wtorek, 18 stycznia 2005, 16:54 
Offline

Rejestracja: sobota, 9 października 2004, 15:31
Posty: 72
Lokalizacja: Tychy
a ja tak lamersko zapytam - czy na starym nnd zapisuja sie gdzieś logi osób które uzywaja programów p2p?
Nie chciałem pisac nowego tematu więc wybaczcie ze podpiąłem sie tutaj.

Pozdrawiam gorąco.

_________________
POZDRAWIAM gward - www.elfow.no-ip.org


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 00:09 
Nie znalazłem takich logów domyślnie.

Można sobie wgrać paczkę iptraf i tam skonfigurować aby serwerek wszystko rejestrował.
Niestety dysk dawet bardzo duży na serwerku szybko się przepełni :lol:

Myślę, że Lepiej zamiast logów zainstalować paczkę statystyk i poobserwować kto ma cały czas duży upload :wink:
Mało kto ze zwykłych użytkowników zdaje sobie sprawę, że to upload w głównej mierze blokuje innych i mało kto ogranicza go sobie na poziomie programu P2P.

Można też przy wprawnym oku popatrzeć na iptrafie jaki adres korzysta z jakich portów ale te przecież można przestawiać.

Najlepiej zapomnij o kontroli tylko ustaw odpowiednio HTB.

Jak masz w umowie z nim zawarty zakaz korzystania z P2P to ustaw mu w rc.htb w uploadzie jakieś wartości rate i ceil poniżej 30 a żaden ssacz mu nie zaszaleje jaśli będzie sam w sieci :lol:
Niestety jak będzie wysyłał jakieś pliki większe do internetu to też to boleśnie odczuje mimo, że nie będzie korzystał z P2P :(

Wydaje mi się, że najlepiej dać gościowi odpowiednią szerokość pasma a to co z nim robi to już jego sprawa :wink:


Na górę
  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 02:26 
Offline
Użytkownik

Rejestracja: czwartek, 29 kwietnia 2004, 14:13
Posty: 205
Lokalizacja: B-st
Kwiatkos IP 192.168.1.4 ma dostę do netu z tego powodu że arp nie pilnuje IP 192.168.1.4. Zadanie arpa to przydzielic odpowiednie IP właściwej karcie sieciowej jeżeli nie wymienimy jakiegoś IP oznacza to że nie jest on pilnowany wiec ma dostep do netu jesli ma wpisane to IP u siebie Jeżeli pod tym IP wpiszesz błędne dane MAC user ten nie uzyska adresu IP 192.168.1.4 ani zadnego wymienionego w hosts. Ale jeżeli nie dostanie IP to nie wiem jak bedzie wyglądała sprawa w sieci. najlepiej daj IP spoza zakresu wymienionego w maskaradzie to powinno pomóc


troche namieszane ale nie wiem jak Ci to wytłumaczyc

_________________
Jarek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 09:47 
Offline
Użytkownik

Rejestracja: wtorek, 25 maja 2004, 11:40
Posty: 300
Lokalizacja: Sośnicowice
jarekjarek pisze:
troche namieszane ale nie wiem jak Ci to wytłumaczyc

Faktycznie, strasznie namieszales.

Sytuacja wyglada tak:
: [/] [] ()
192.168.1.4 ether FF:FF:FF:FF:FF:FF CM eth0

Flaga CM oznacza, ze arp jest skonfigurowany i dziala tablica ethers.
Innymi slowy, adres IP zostal powiazany z odpowiednim MAC adresem, wiec z Twojej strony skonfigurowane jest to prawidlowo.

Jezeli ustawimy IP ktoregos komputera 192.168.1.4, to nie uzyska on dostepu ani do routera, ani do Internetu, jesli ruch ten odbywa sie przez router.

Z drugiej jednak strony, jesli zmienimy na tym komputerze IP na jakiekolwiek inne, to taki dostep ten komputer uzyska, gdyz arp pilnuje tylko par ( MAC adres , IP )

Rozumiem, ze u Ciebie tak sie nie dzieje, moze to wskazywac na awarie Twojego systemu, moze tylko problem z arpem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 11:39 
I wreszcie ktoś mnie zrozumiał :D

Tak właśnie jest i mam nadzieję, że ktoś mi powie jak ten ARP naprawić.

O tym co daje przypisanie IP do MAC dobrze wiem.
Sam internet blokuję przez wpisy iptables przekierowujące klienta
na ciekawą stronkę :lol:

Znalazłem jak zastąpić ARP przez wpis w iptables ale trapi mnie wciąż czemu mi się routerek tak dziwnie zachowuje ;)


Na górę
  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 11:56 
Ups nie zauważyłem jeszcze wyżej.

Panie jarekjarek

Cytuj:
Zadanie arpa to przydzielic odpowiednie IP właściwej karcie sieciowej


Zadanie o którym piszesz spełnia DHCP a nie ARP.
Nie jestem gejzerem ale coś raczej namieszałeś.

Z tego co wiem to zadaniem ARPa jest pilnowanie aby
konkretny adres IP szedł z karty sieciowej o konkretnym adresie MAC. Jeśli pod danym IP jest inny MAC niż ten z tablicy ARP to takiego IP-ka nie ma dopuścić do serwerka.

To jest podstawowe i jedyne zadanie ARP.


Na górę
  
 
 Tytuł:
Post: środa, 19 stycznia 2005, 15:41 
Offline
Użytkownik

Rejestracja: czwartek, 29 kwietnia 2004, 14:13
Posty: 205
Lokalizacja: B-st
Ok to samo miałem na mysli nie potrafie jednak tak jasno tego wytłumaczyc mam DHCP I ARPa wiem co który ma robić ale gorzej z zamianą tego na słowo pisane :)

_________________
Jarek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 22 stycznia 2005, 17:32 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Kwiatkos pisze:
....zadaniem ARPa jest pilnowanie aby
konkretny adres IP szedł z karty sieciowej o konkretnym adresie MAC....


Dokładniej to tablica arp służy do wysyłania pakietów do komputera o danym IP. Protokół arp najpier wysyła zapytanie arp 'kto ma ip nr 192.. ?'.
Jak jest jakis komputer to odpowiada 'Ja ma to IP a mój MAC to 00:01..!'
Wtedy dopiero paczka tcp/ping (ICMP) czy co innego idzie na kartę(komputer) o adresie MAC 00:01...
Każda karta sieciowa nasłuchuje i jak rozpozna swój MAC to bierze te pakiety (karta sieciowa o IP nic nie wie...ogólnie mówiąc).

Z tego wniosek, że można router zasypać pakietami ale router ze SZTYWNO ustawionym IP-MAC nie odpowie do innego komputera( innej karty sieciowej o innym MAC). Tak naprawdę to on odpowiada, ale pakiety ida z adresem MAC karty sieciowej o wstawionej na sztywno do arp.

Przepraszam, że poczułeś się 'naciskany' mimo, że jak mówisz czytasz forum itd. ale często jest trudno poznac po kilku postach 'hu is hu... '

Ok !
Dość tych pieszczot.

Rozwiązaniem jest wstawienie innego MAC blokowanym komputerom. U mnie NIE blokował z MAC FF:FF:FF:FF... ani z FF:FF:..01 na końcu. Natomiast arp doskonale blokował IP o wpisanym MAC 01:02:03:04:05:06 :-)

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 lutego 2005, 02:43 
Wielkie dzięki.

Szczerze pisząc, to mój problem rozwiązał się sam.
Nie wiem czemu ale po kilku tygodniach nagle ARP spowrotem "pilnuje".
Zastanawia mnie to dlaczego ale pewnie już do tego nie dojdę.
Nic nie zmieniałem a tu nagle "się naprawiło".

Bardzo dziękuję użytkownikowi Karolian.
Takiego dobrego wytłumaczenia problemu jeszcze nigdzie nie znalazłem.

Ps.

Cytuj:
U mnie NIE blokował z MAC FF:FF:FF:FF... ani z FF:FF:..01 na końcu. Natomiast arp doskonale blokował IP o wpisanym MAC 01:02:03:04:05:06


Jeśli mogę wtrącić ;)
Moim zdaniem to albo miałeś wyjątkowo inteligentnego i zarazem upierdliwego usera albo wyjątkowego pecha ;)


Na górę
  
 
 Tytuł:
Post: wtorek, 1 lutego 2005, 03:21 
Wybaczcie, teraz mi się dopiero przypomniało, że coś jednak zmieniłem.

Wyrzuciłem paczkę forwards.tgz.
Całe forwardowanie ustawiłem za pomocą iptables w rc.firewall.

Podaję przykładowe przekierowanie jakie zastosowałem dla TCP i UDP jednego z portów:

: [/] [] ()
iptables -I FORWARD -p tcp -d [ip_lokalne] --dport [nr_portu] -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 0/0 -d 0/0 --dport [nr_portu] -j DNAT --to [ip_lokalne]
iptables -I FORWARD -p udp -d ip_lokalne --dport [nr_portu] -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth0 -s 0/0 -d 0/0 --dport [nr_portu] -j DNAT --to [ip_lokalne]


Nie chce mi się wierzyć ale może to dzięki temu się naprawiło.

Pozdrawiam wszystkich i jeszcze raz dziękuję za pomoc.


Na górę
  
 
 Tytuł:
Post: sobota, 5 lutego 2005, 12:45 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Kwiatkos pisze:
...
... Karolian. ...
Cytuj:
U mnie NIE blokował z MAC FF:FF:FF:FF... ani z FF:FF:..01 na końcu. Natomiast arp doskonale blokował IP o wpisanym MAC 01:02:03:04:05:06




Nie zrozumiałeś mnie ( To ja

Koriolan ).

Jak WPISAŁEM numer MAC który niby ma blokować to IP (czyli w Twoich skrypcie ethers MAC na którego nikt ma nie wchodzić) to ARP OLEWAŁ to IP (czyli nie BLOKOWAŁ IP).
Np.:
>>> ethers >>>>>

192.168.0.10 00:1:e2:22:01 <- ten komputer ma pracować
...
192.168.0.100 FF:FF:FF:FF: <- na to IP nikt ma nie wchodzic - A WCHODZI
...
192.168.0.200 01:02:03:04:05 <- na to IP ma nikt nie wchodzić - I NIE WCHODZI
...
>>>>>>>>>>>>>>>>>>

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 5 lutego 2005, 14:40 
Wybacz.
Dobrze Cię zrozumiałem i dziękuję za podpowiedź ;)
Pomysł typu:
Cytuj:
192.168.0.200 01:02:03:04:05

uważam za dobry.
Zobacz moje posty wyżej.
Pisałem, że zmieniałem adresy i to nic nie pomagało.
Może zbyt niewyraźnie to napisałem ;)
Problem się naprawił bez zmian w piliku ethers.

Ciekawi mnie, czy u kogoś też paczka forwards.tgz miała jakiś wpływ na ARP.
Nie mam na czym testować.
Stare NND chodzi u mnie jako ważne urządzenie i nie chciałbym na nim testować czy powrotna instalacja paczki forwardowania znów coś rozwali.
Jeśli u kogoś było to samo - proszę o potwierdzenie.
Przynajmniej przyczyna byłaby pewna.


Na górę
  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Forum zablokowane Ten temat jest zamknięty. Nie można w nim pisać ani edytować postów.  [ Posty: 15 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl