Freesco, NND, CDN, EOS

Czy komputery, których nr IP i nr MAC nie mam wpisane do pliku hosts.arp beda mialy dostep do inetu ????

nie

_________________
Internet w Międzyrzeczu

A ja bym powiedział, że tak.
Samo wpisanie, bądź nie jakiegoś IP-MAC do hosts.arp nie zapewnia blokady/udostępniania internetu.
Polecam np. http://www.bolo.one.pl/dhcp.htm

Jurek Walus

a czy to nie jest inaczej?
Komp nie wpisany nie dostanie poprostu IP przydzielonego dopisanej już karcie. Jeżeli nie mam racji to po co się blokuje firewallem pozostałe IP ?

Kolega z góry ma racje ale był szysbszy o 10 sekund

dokładnie tak jest - arp jest skuteczny w połączeniu z firewallem, ale niestety mając możliwość zmiany adresu MAC można to ograniczenie w niektórych przypadkach obejść...

_________________
Internet w Międzyrzeczu

Gwoli wyjasnienia.
ARP pilnuje tylko adresow, jakie ma w swojej tabeli. Jesli jakas karta z innym macem niz w tabeli arpa zgłosi sie z pilnowanym adresem to nie dostanie polaczenia.
np.
ARP ma podane:
192.168.0.2 00:30:33:44:34:53

teraz ktoś w karcie z macem 00:30:55:55:55:55 ustawil IP 192.168.0.2
arp odrzuci placzenia z tej karty. ale po zmianie IP na inny arp juz nic do tego mial nie bedzie.

wszystkie inne IP arpa nie interesuja.
Dlatego nalezy je blokowac firewalem.

tylko że wtedy u osoby która ma przyporządkowany MAC i IP będzie wyskoczy konflikt IP, bo serwer zablokuje interek a nie sieć lokalną(i to troche jest wkurzające)

Zachowania takie nalezy u userów z czla stanowczoscia tępić.
Jesli wszyscy maja z dhcp to wszyscy i wtedy nie ma problemu.

Rada jest prosta - IPRANGE nie może zawierać IP przydzielanych statycznie w DHCP. Jak ktoś dostanie IP dynamicznie lub sam sobie przypisze (będzie chciał net za darmo) to jedynie inny niż jakikolwiek z IP statycznych (chyba logiczne). Natomiast firewall zablokuje wszystkie niepotrzebne IP a ARP podszywających się userów. Jak ktoś nada sobie kogoś IP to właściciel może otrzymać IP dynamiczny i wtedy oboje nie będąmieli neta. Ale takich to scyzorykiem

_________________
Pozdrowienia
Bolo

No cóż. Hmm... arp jest dość dobrym zabezpieczeniem ale nie na tyle dobrym aby było skuteczne.
Powszechnie wiadomo, że w systemach typu linux zmiana MAC karty nie stanowi problemu. Zakładam, że userów w sieci stosujących linux jako domowy system operacyjny jest ułamek procenta.
Dobrze poinformowani wiedzą, ze jeszcze prościej zmienia się MAC karty w systemach windows, mam na mysli głównie szereg z rodziny XP i to bez żadnego dodatkowego oprogramowania, za jednym kliknięciem. I to jest już problem
Padły kiedyś pytania i propozycje na innych forach - zabezpieczenie np. po nr dysku twardego. Jednak wydaje mi się, że to nie o to chodzi. Gościa, który nie płaci należy wyp......... poprzez wyjęcie wtyczki. Gorzej jak u niego stoi switch to już jest problem merytoryczny albo się dogadać albo dać sobie na looz

zciech napisał:


ok, teraz odwrotnie
czy user który ma IP i MAC np. 192.168.0.2 00:30:33:44:34:53 dostanie neta jesli zmieni IP na 192.168.0.99 (poza tablicą hosts.arp) i ten IP nie jest zabezpieczony firewallem, czy poprostu ta karta musi miec ten przydzielony IP (192.168.0.2)
PS. IP są przydzielone na sztywno bez DHCP

Dostanie neta.

a jeszcze inny przypadek:
gosc wzial sobie ip kogos innego. ten ktos informuje o tym administratora. Czy mozna po prostu zwolnic taki nr ip jakims poleceniem, po prostu odlaczyc zlodzieja, a pozniej niech sobie ten ip wezmie wlasciciel

_________________
Dzięki za pomoc!
Pozdrawiam!

to to nie jest w ten sposob ze ARP dopuszcza do neta te osoby ktore ma wpisane w host.arp a reszte nie dopuszcza i nie maja neta i nie trzeba blokowac w firewollu?????

Nie nie jest tak ARP dziala skutecznie w polaczeniu z firewall'em... dla hostow wpisanych w host.arp pilnuje tylko IPekow. Malo dokladnie czytasz posty

_________________
Pozdrawiam
Przemek

a na slackware juz chyba nie trzeba w polaczeniu z firewolem ???? bo aRP pilnuje wszystkeigo

Bo na slacku zupełnie inaczej udostępniasz net. Z tego co ort. to można udostępniać tylko wybrańcom za pomocą polecenia route add dla poszczególnych IP. Freesco standardowo daje net wszystkim kompom w sieci lokalnej (chyba, że pobawisz sie rc_masq i dasz neta tylko na wybrane IP - ale odadzam ) i dlatego trzeba blokować firewallem.

_________________
Pozdrowienia
Bolo

Tak, wszystko fajnie.
Tylko jeśli wpiszę do DHCPD.conf maki i IP - jest OK. Jeśli wpiszę to ARPa - też jest OK. Więc dlaczego jeśli ustawię DHCPD.conf i ARPa to komputery nie mają przydzielanego IP automatycznie? Serwer je odrzuca.
Jeśli w takiej sytuacji IP wpiszę na "sztywno" to arp działa prawidłowo.

Więc jak pogodzić automatyczne nadawainie IP oraz APR'a?

Jesli bym wprowadzil tego firewala ze strony BOLA to zeby sie podlaczyc na lewo trzeba by uzyc adresu innego uzytkownika tak ?
ps chodzi o sam firewal bez dhcp i arp ,ip na sztywno przydzielone kazdemu kompowi .

_________________
Czy to juz koniec Lanow ...