Freesco, NND, CDN, EOS

Witam wszystkich bardzo serdecznie,
Od dluzszego czasu probuje skonfigurowac freesco w polaczeniu z SDI. Udalo mi sie juz uzyskac polaczenie z internetem z kilku komputerow polaczonych z routerem freesco, jednak nie kontroluje tego, chcialbym to teraz zrozumiec a kilka uslug mi wrecz nie dziala.
Do rzeczy. Chcialem zastosowac DHCP, skonfigurowalem tak jak w instrukcji, poddajac takze edycji plik dhcp.conf, w ktorym przypisuje adresom MAC numery IP, jednak wydaje mi sie ze nie ma to wplywu na dzialanie sieci, nawet jezeli w pliku nie ma nic, moge polaczyc sie z internetem z komputera w ktorym wlaczylem automatyczne wykrywanie dhcp.
Kolejna sprawa to ARP, wydaje mi sie ze plik hosts.arp ma podobna strukture co dhcp.conf. Jednak i tu wg mnie nie ma znaczenia co sie w nim znajduje.
Podany zakres komputerow takze nie zdaje egzaminu.
Podsumowujac: zablokowac dostep konkretnego kompa udalo mi sie jedynie poprzez polecenie ipfwadm.
Dodam jeszcze ze na niektorych komputerach ustawilem automatyczne wykrywanie dhcp i dziala a na innych taka sztuka sie nie udaje, (dostep uzyskuje dopiero po sztywnym wpisaniu adresu IP i wlaczeniu DNS) pytanie dlaczego?
Bardzo prosze o wyjasnienie w prosty sposob jak moge dojsc do ladu z tym calym balaganem i o co tu chodzi.
Pozdrawiam.
Qbee.

miałem podobny problem ale na starym forum wyczytałem że należy zrobić tak i działa :
1) ustawić zakres adresów przyjmowanych przez serwer (dla danej karty sieciowej w setupie pozycja 72
2) powpisywać wszystkie adresy wg opisu w pliku dhcp.conf
3) powpisywać adresy kart w hosts.arp wg opisu
4) w pliku /mnt/router/rc/rc_user powpisywać dodatkowo komendy ipfwadm:
ipfwadm -I -i reject -S $NETWORK0/$NETMASK0 #blokowanie wszystkich
ipfwadm -I -i accept -S <ip_1wybrańca>
ipfwadm -I -i accept -S <ip_2wybrańca>
i tak dalej
oczywiście należy ponownie uruchomić serwer

to że zablokowany komp nadal niby wykrywa ip poprzez dhcp może być powodem przydzielania numeru ip na okres 7 dni ( jest to do ustawienia przy konfiguracji dhcp i trzeba podaćczas w sekundach ) wpisy ipfwadm spowodują że komp użytkownika nie mający dostępu do netu dostanie negatywną odpowiedź z serwera i przydzieli jakiś tam ip.
jeżeli nie zadziała można też przekręcić MAC innych użytkowników w dhcp i arp to napewno sie nie połączy
życze powodzenia

Witam!
Z tego co mówisz, masz włączoną usługę DHCP i ARP i bez względu na to czy jest tam coś wpisane to i tak to ignoruje. Wiesz wydaje mi się że coś jest nie tak w tym pliku dhcpd.conf sprawdź jeszcze raz, pamiętaj,że # oznacza komentarz więc może to jest błędem, że zaczynasz linie od #.
Jak nie zostanie znaleziony adres MAC karty to dhcp przydziela kolejny adres z puli. Więc jak plik jest pusty lub cały objęty komentarzem to zachowuje się tak jak opisałem w poprzednim zdaniu. Najważniejsze aby każdy komp dostawał takie IP jakie mu przypisałeś (adresy kart muszą być wpisane poprawnie). Jeśli tak jest ARP będzie działał bez problemu.
U mnie działa ok. Powodzenia
Pozdrawiam - Daniel!

Dziekuje za rady, ale ciagle walcze i nie moge dojsc z tym do ladu. Prosze o jasna odpowiedz czym sie roznia pliki dhcpd i arp, wpisy sa podobne, wiec po co tworzy sie je w dwoch roznych plikach?
Pzdr.
Qbee

Bo to są dwie różne rzeczy.
ARP pilnuje aby nikt nie zajął danego numeru ip (nikt za wyjądkiem komputera z kartą o zadanym numerze MAC)
DHCP przydziela IP na podstawie numeru MAC.
Jeśli chcesz komuś zablokować dostęp do netu to nie wystarczy wyciąć wpis w konfigu dhcp, bo gość może sobie sam go ręcznie wpisać. Jeśli jest ARP to nie zezwoli na to (a jeśli nawet to net nie będzie mu działał).

Struktura pomiędzy tymi dwoma plikami jest raczej trochę inna.
DHCP działa aby IP były przypisywane automatycznie, każdemu kompowi w sieci, jeśli bedą tam wpisy adresó MAC to wtedy przydzieli im kolejno z puli adres ale ja juz to pisałem chyba nie raz więc do nauki czytania ze zrozumieniem zapraszam....

Zwracam sie ponownie z prosba o pomoc przy konfiguracji DHCP i ARP.
Przewertowalem mnostwo stron i wydaje mi sie ze powinno dzialas, niestety tak nie jest.
Przedstawie wiec, jakie konkretne wpisy widnieja u mnie w systemie:

Skupilem sie tylko na jednej jednostce, dlatego wiekszosc wpisow dotyczy tylko niej:

W pliku /mnt/router/etc/dhcpd.conf:

host komp1 {
fixed-address 198.0.0.218;
hardware ethernet 00:10:5a:f0:53:3a;
}

Plik: /mnt/router/packages/arp/hosts.arp:

198.0.0.218 00:10:5a:f0:53:3a

Ponadto w pliku /mnt/router/rc/rc_user dopisalem:

ipfwadm -I -i deny -W eth0
ipfwadm -I -i accept -W eth0 -S 198.0.0.214
ipfwadm -I -i accept -W eth0 -S 198.0.0.215
ipfwadm -I -i accept -W eth0 -S 198.0.0.216
ipfwadm -I -i accept -W eth0 -S 198.0.0.218
ipfwadm -I -i accept -W eth0 -S 198.0.0.219


Jesli na kliencie (windows 95) wpisze: uzyskaj adres IP z serwera DHCP- internet nie dziala,
Jesli wpisze na stale, uruchomie dns i wpisze bramke-internet dziala, moge jednak ustawic adres IP, ktorego nie powinienem dostac (np koncowke 219).

Jeszcze jedna watpliwosc moze od tego powinienem rozpoczac, czy dhcp i arp dziala automatycznie? Dhcp startuje wg mnie przy kazdym restarcie freesco, czy arp tez? Na wszelki wypadek wpisalem rc_arp start. Efekt jest taki jak wczesniej-nadal nie dziala.

Bede bardzo wdzieczny za pomoc w rozwiazaniu mojego problemu.
Pzdr
Qbee

Napisałeś "komp1", następny rozumiem komp2 itd.
Wiesz wydaję mi się że wszystkie hosty muszą się tak samo nazywać np. win98 może tylko tak, bo pierwszy raz jak robiłem DHCP to mi nie działało, ale wpisałem wszystkie host win98 i działa poprawnie. Może to to, spróbuj. Pozdrawiam Daniel.

Dzieki, za odpowiedz ale ciagle nie dziala
Juz nie wiem co robic.
Moze ktos jeszcze ma jakis pomysl? z gory wielkie dzieki.
Pzdr.
Qbee

Wiesz radzę Ci jeszcze raz zrobic dyskietke z freesco, ustawić wszysko i uaktywnić DHCP opcja chyba 42 ( w każdym razie tak jak w instrukcji) i nie blokować czy akceptować żadnych adresów (ipfwadm bo ja jestem trochę tego nie pewny), sprawdzić czy działa ok DHCP a dopiero zabrać się za ARP-a. Bo mi to działało, nie wierzę że nie możesz sobie z tym poradzić. Powozenia

Witam ponownie,
Dzieki za rady, zrobilem tak jak mowiles, wszystko od nowa i niby dziala, tzn. kompy dostaly IP wg pliku dhcpd.conf, ale jak teraz cos zmienie w tym pliku (np jedna cyfre w Mac-adresie lub inny nr IP) nie skutkuje to zmiana na kliencie. Po restarcie routera i stacji-dana stacja ma numer przypisany poprzednio. Skad ten komp "wie" jaki mam miec IP? Czy poprzednie ustawienia sa gdzies pamietane? Dodam ze te kilka kompow z SDI stanowi czesc dosyc duzej sieci lokalnej-moze te informacje gromadzone sa na innym serwerze?

Kolejna sprawa to co zrobic dalej? Zainstalowac ARP?
Chce takze zabezpieczyc siec przed podlaczaniem innych uzytkownikow, a mowiles ze lepiej nie uzywac ipfwadm.

Bardzo prosze o porade co jest najwlasciwsze, nie mam w tej dziedzinie doswiadczenia dlatego zwracam sie z tym do Ciebie.

Pzdr.
Qbee

Być może wpisy są gdzieś zapisywane, nie wiem dokładnie podejrzewam że lokalnie na każdym kompie.
Zainstaluj sobie ARP-a wg. instrukcji, i to jest jakieś tam zabezpieczenie jeśli chodzi o podłączenie kompa z inną kartą sieciową. Jeśli masz dostęp bezpośredni do serwera to wyrzuć sobie administrację zdalną poprzez telnet (opcja 44 - chyba). Podstawa to zmiana hasła roota. A co do ipfwadm to ja się na tym dobrze nie znam. Gdyż coś za dobrze mi to nie działa. Powiem jeszcze że pewien gościu ode mnie z osiedla, chcąc sprawdzić zabezpieczenie mojego serwera zmienił hasło root-a bez jego znajomości. Tak więc Polak potrafi.

Qbee przy konfiguracji freesco wedlug instrukcji przydzielana jest dzierzawa IP na 7 dni i dlatego chyba nic nie zmienia twoja zmiana w dhcpd.cfg.
Ja ustawilem tak: w setupie opcja 42 a pozniej dla 423 wpisalem 86400,86400 i dzierzawa jest przydzielana na jeden dzien. Moze to pomoze.

Dzieki za wskazowke, moze masz racje ale czy to znaczy ze raz zaladowany dhcpd.cfg obowiazuje przez tydzien (lub inny zadeklarowany czas)?
Dlaczego wobec tego na "pozytywne" zmiany reaguje? Chodzi o to ze np zmiana adresu MAC na bledny powoduje pamietanie poprzedniej konfiguracji, ale wpisanie prawidlowego MACa i np nowego IP juz skutkuje.
Pzdr.
Qbee

Z otrzymywaniem dzierżawy ip jest najprwadopodobniej tak:
1 komputer w sieci szuka sewrewa dhpc
2 serwer przydziela nr IP na dany czas określony w setupie
- jeżeli nie ma odpowiedzi od serwera (i nie otrzymał jeszcze dzierżawy ip) komputer przydziela sobie jakiś adres zgodny ze specyfikacją protokołu tcp/ip i jest to najczęściej numer z puli 192.168.0.xxx lub 169.254.x.x dla win98 oczywiście
- jeżeli dzierżawa jeszcze nie wygasła to nr ip pozostaje taki sam do momentu jej wygaśnięcia jednak pakiet arp powinien wtedy zadziałać i niepozwoli przydzielić zabronionego numeru ip, poprostu tak jakby rezerwuje wybrane numery

dla win98 jest programik winipcfg za pomocą którego można sobie bałwan jestem adres ip lub zwolniśi uzyskać od nowa ( po zwolnieniu ip komp nie otrzyma na nowo adresu jeżeli nie będzie wpisu jego MAC w dhcp.conf )

jest jeszcze jedna opcja - użytkownik podszywa sie za kogoś kto ma dostęp do internetu i wpisuje ręcznie ip, omija zatem dhcp i net hula ale pakiet arp to wykrywa bo weryfikuje kolesia po MAC i ip i stwierdza niezgodność czyli brak dostępu do internetu

ale to nie zawsze skutkuje więc najlepiej powpisywać pare komend ipfwadm w pliku /mnt/router/rc/rc_user:

ipfwadm -I -i reject -S $NETWORK0/$NETMASK0 #tam na końcu jest zero blokuje to wszystko z sieci lokalnej do serwera
ipfwadm -I -i accept -S <ip z dostępem>
..........................................................

jeżeli inne kompy nie mające dostępu do netu mają miećdostęp tylko do serwera najlepiej wpisaćich do dhcp i arp i ponadto:
ipfwadm -I -i reject -S <ip>
ipfwadm -I -i accept -S <ip> -D 198.0.0.0/24

lub

ipfwadm -I -i accept -S <ip> # pozwolenie na dostęp do serwera
ipfwadm -F -i reject -S <ip> # odcięcie poza firewall czyli na zewnątrz

jak ktoś ma squida lub junkbuster to musi zablokować dostęp na dane porty:

ipfwadm -I -i reject -P tcp -S <ip> -D <ip_serwera> 8080 #junkbuster dla squida jest domyślnie 3128

jalk nie działa to jest gdzieś zrobiony błąd
może arp nie działa? czy po wpisaniu rc_arp start wyskakuje tablica z numerami ip i MAC????????

to by było na tyle ))