Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Blokowanie nieporządanych użytkowników w sieci.
http://forum.freesco.pl/viewtopic.php?f=35&t=1957		 Strona 1 z 1
Autor:  viruszg [ piątek, 16 maja 2003, 19:57 ]
Tytuł:  Blokowanie nieporządanych użytkowników w sieci.
Do przydzielania IP użytkownikom najlepiej nadaje się administrator sieci, odradzam używania DHCP z kilku względów, których tutaj nie opiszę... Lepszym rozwiązaniem jest przypsanie dla każdego usera stałego IP.
Aby zabezpieczyć się przed jakimikolwiek zmianami IP przez samych użytkowników, możemy użyć pakietu arp, który będzie odpowiedzialny za blokowanie wszystkich prób połączenia się na innym IP, niż przporządkowane dla poszczególnych userów sieci.

Co potrzebujemy:
  • Pakietu arp
  • Adresów fzycznych MAC wszystkich kart sieciowych w lanie
  • Odrobiny cierpliwości
  • Nieco chęci

Zacznijmy od zainstalowania pakietu na naszym FreeSCO:
: [/] [] ()
installpkg http://freesco.virus.one.pl/pakiety/arp
GeSHi © Codebox Plus


Następnym krokiem będzie edycja pliku /mnt/router/packages/arp/hosts.arp.
W tym pliku musimy umieścić informacje o adresach IP oraz adresach fizycznych MAC.
Plik hosts.arp powinien mieć postać:
: [/] [] ()
# IP            MAC
192.168.0.2     00:10:A7:07:D9:22
192.168.0.3     00:10:A7:07:D6:CD
192.168.0.4     00:10:A7:07:D6:A6
GeSHi © Codebox Plus


W każdej linii jest adres IP komputera z sieci lokalnej oraz adres MAC karty sieciowej zamontowanej w tym komputerze. Oczywiście nie wpisujemy adresów serwera.
Aby sprawdzić, czy wpisaliśmy poprawne adresy (nie zawierające błędów technicznych) uruchommy arp'a poleceniem rc_arp. Jeśli jest jakiś błędny wpis, to arp nam go wskaże.
Pozostało nam już tylko zablokowanie pozostałych adresów IP, które nie są dopisane do arp'a i zapobieżenie tym samym zmiany przez użytkownika IP na jeden spoza zakresu wpisanego do hosts.arp
Ja zdrobiłem to doisując na końcu pliku rc_arp następującce linijki:
: [/] [] ()
ipfwadm -I -i rej -S 192.168.0.0/16 -W eth0 -y -o  #zablokowanie wszystkich
ipfwadm -I -i acc -S 192.168.0.2 -W eth0           #odblokowanie 192.168.0.2
ipfwadm -I -i acc -S 192.168.0.3 -W eth0           #odblokowanie 192.168.0.3
ipfwadm -I -i acc -S 192.168.0.4 -W eth0           #odblokowanie 192.168.0.4
GeSHi © Codebox Plus


Teraz po wykonaniu polecenia rc_arp (zakładając, że nie popełniliśmy błędu przy wpisach) żaden użytkownik nie jest w stanie połączyć się z serwerem na innym IP, niż przydzielony mu przez administratora sieci, czyli Ciebie.

Podziękowania dla Olka za pomoc oraz dla Pineczka, bo on lubi podziękowania.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/