Freesco, NND, CDN, EOS
http://forum.freesco.pl/

ARP - zabezpieczenie. Pilne!
http://forum.freesco.pl/viewtopic.php?f=35&t=8825		 Strona 1 z 1
Autor:  grzesiek_88 [ sobota, 3 września 2005, 16:26 ]
Tytuł:  ARP - zabezpieczenie. Pilne!
Witam.
Posiadam siec w ktorej jest kilkadziesiat komputerow. W sieci jest kilka serwerow z ktorych jest dzielone lacze do odpowiednich userow. Czyli:
serwer o adresie IP 192.168.1.1 rozdziela internet dla userow o IP od 192.168.1.2 do 192.168.1.18
serwer o adresie IP 192.168.3.1 rozdziela internet dla userow o IP od 192.168.3.2 do 192.168.3.22

Ja mam serwer o IP 192.168.6.1 i rozdzielam internet dla 11 uzytkownikow o IP od 192.168.6.2 do 192.168.6.12.

Maska podsieci u wszystkich uzytkownikow sieci jest 255.255.0.0 zatem kazdy uzytkownik z sieci 192.168.1.0 widzi uzytkownika z sieci np: 192.168.6.0.

Jak latwo zauwazyc uzytkownik o numerze IP 192.168.1.2 moglby ustawic sobei bramke na moj serwer 192.168.6.1 i miec dostep do mojego lacza internetowego. Czytalem w internecie ze pomaga instalacja pakietu ARP. Owszem zainstalowalem go dodajac odpowiednie wpisy w pliku /mnt/router/packages/arp/hosts.arp
--------------------------------------------------
# komp1
192.168.6.2 00:0B:6A:80:EF:F1
# komp2
192.168.6.3 00:50:FC:57:9E:20
# komp3
192.168.0.4 00:50:8D:69:39:69
# komp4
192.168.6.5 00:0B:6A:52:5B:28
# komp5
192.168.6.6 00:40:F4:7C:5D:55
itd..
--------------------------------------------------
Wszystko dziala ok jesli ktos probuje podszyc sie pod IP kogos z mojej sieci. Problem zaczyna sie gdy ktos na sztywno ustawi sobie IP ktorego nie ma w pliku hosts.arp (czyli IP z pozostalych sieci, oraz IP z mojej sieci powyzej 192.168.6.12 czyli strefy pustej).

Czytalem sporo artykulow na ten temat ale nie znalazlem wlasciwej odpowiedzi.
Czy da sie jakos zabezpieczyc przed dostepem tych maszyn do mojego lacza internetowego?
Pomyslalem ze moze jakos uzyc firewalla ale niestety nie jestem na tyle zaawansowanym uzytkownikiem zeby sobie z tym poradzic.
Prosze o pomoc.
Pozdrawiam
Autor:  zciech [ sobota, 3 września 2005, 16:56 ]
Tytuł: 
Zablokuj pozostale IP na firewalu

http://zciech.w.interia.pl/rc_user.htm
Autor:  grzesiek_88 [ sobota, 3 września 2005, 19:45 ]
Tytuł:  ARP - firewall
zciech dziekuje za pomoc. Wszystko działa ok. (Mam nadzieje :))

Jesli by ktos szukal rozwiazania na ten problem wiec mowie co nalezy zrobic:

Zainstalowac ARP:
: [/] [] ()
installpkg http://download.freesco.pl/packages027/arp
GeSHi © Codebox Plus

Przypisac kazdemu adresowi MAC odpowiedni adres IP poprzez edycje pliku hosts.arp
: [/] [] ()
edit /mnt/router/packages/arp/hosts.arp
GeSHi © Codebox Plus

Jego zawartosc powinna wygladac mniej wiecej tak:
: [/] [] ()
# komp1
192.168.6.2 00:0B:6A:80:EF:F1
# komp2
192.168.6.3 00:50:FC:57:9E:20
GeSHi © Codebox Plus

PO dokonaniu zmian w pliku zatwierdzamy klawiszami ALT + S nastepnie ALT+X
Resetujemy ARP
: [/] [] ()
rc_arp restart
GeSHi © Codebox Plus

Edytujemy plik rc_user
: [/] [] ()
edit /mnt/router/rc/rc_user
GeSHi © Codebox Plus

Zawartosc powinna wygladac mniej wiecej tak:
: [/] [] ()
if [ "$1" = firewall ]; then
# Add your custom firewall rules here. Warning, incorrect rules could
# leave your system insecure. $INET always represents the internet
# interface. These rules come before standard system rules. Example:
# reject incomming tcp connections to port 22 from the internet and log
#ipfwadm -I -a reject -P tcp -W $INET -D 0.0.0.0/0 22 -y -o
# Blokujemy cala siec na eth1
ipfwadm -I -i deny -W eth1 -S 0/0
# Odblokowujemy pojedynczych userow
ipfwadm -I -i accept -W eth1 -S 192.168.6.2
ipfwadm -I -i accept -W eth1 -S 192.168.6.3
#----------------------------------------------------------------------
exit; fi
GeSHi © Codebox Plus
...
Resetujemy serwer
: [/] [] ()
reboot
GeSHi © Codebox Plus

I wszystko działa, bynajmniej u mnie.

zciech jesli mozesz sprawdz czy aby wszystko dobrze wykonalem.

Pozdrawiam
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/