Freesco, NND, CDN, EOS

Czy jest możliwość poblokowania kominikacji między userami ale nie między userem a serwerem ? Wiem ,że najprostszy sposób to ustalić broadcast dla każdego usera inny ( wyliczyć mu sieci jednoosobowe ) i oczywiście maskę . Ale takie coś to można sobie samemu zmienić , poza tym to uciążliwe i nie jest dobrym rozwiązaniem ponieważ w niektórych przypadkach trzeba stworzyć aliasy dla sieciówki sewera od strony LANu. Zna ktoś jakieś rozwiązanie ??

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Swego czasu kumpel miał podobny problem i poprosił mnie o pomoc.
Ja to rozwiązywałem na zasadzie wysyłania błędnych ARPów, czyli np:
SERWER 192.168.0.1 MAC 11:11:11:11:11:11
A - IP: 192.168.0.2 MAC aa:aa:aa:aa:aa:aa
B - IP: 192.168.0.3 MAC bb:bb:bb:bb:bb:bb

chcesz zabronić komunikacji pomiędzy komputerami A i B, a to wszystko robisz z SERWERa(prawdę mowiąc to z dowolnego komputera:)).
Wysyłasz do komputera A pakiet ARP_REPLY, mowiący, że adres IP 192.168.0.3 jest osiągalny pod adresem sprzętowym cc:cc:cc:cc:cc:cc. Protokół APR jest bezpołączeniowy, więc przyjmię tę odpowiedź jako pewnik i odpowiednio zaktualizuje swój ARP cache. Dzięki temu pakiety wysyłane z komputera A, adresowane do komputera B(192.168.0.3) będą wysyłane na nieistniejący adres fizyczny, czyli nie będzie możliwa komunikacja między tymi dwoma komputerami.
Mam nadzieję, że nie namieszałem za mocno:)

uuuu...niestety , namieszałeś . Opisz bliżej co to takiego ARP_REPLY i napisz coś praktycznie jak to rozwiązać , jeśli możesz oczywiście . Dzięki.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

W/g mnie Albercik szybciej sobie przeczytasz w internecie o protokole 'arp'. Krótko : polega to na tym, że komputery nie przesyłają paczek TCP/IP po IP tylko po MAC ( w sieci lokalnej). By wysłać coś do kompa IP_01 wysyłają zapytanie 'arp - KTO ma IP 01 ?' ten kto ma IP _01 wysyła 'arp reply komp o 01 ma MAC 11:22:...' Jak pierwszy to otrzyma to wysyła paczki TCP/IP do MAC 11:22.. i KARTA SIECIOWA TEGO KOMPUTERA TO ODBIERA. Ta wymiana 'srp ..' odzwierciedlona jest włąśnie w tablicy arp odczytywanej programem :
np. 'arp -n'

Na 'freshmeat' jest programik arp_cośtam, który służy akurat do czegoś odwrotnego, czyli zabezpieczenia przed zafałszowaniem pary IP - MAC ale po zastanowieniu może posłużyć do tego co opisano wyżej

Pomysł z poprzedniego postu polega na sfałszowaniu adresy MAC by wysyłane paczki TCP/IP NIE trafiały pod dobry adres. Nie wiem tylko jak to zrobić by trafiały dobrze do SERWERA. Choć jak serwer będzie miał ustwioną tablicę 'arp' na sztywno 'arp -f' to da sobie radę.

Ty Abercik masz chyba siec radiową ? Na AP firmy Atmel można oddzielić klientów na AP'ku.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Atmel To nazwa chipsetu ... Wiem ,że wiesz o tym ale znaczenie ma oprogramowanie . Wypuszczono teraz taki soft na Ovislinki 1120 (RTL8181) i wiem , że mozna to zrobić na każdy sprzęt - także na Atmela , ale nie wiem , czy ktoś to na ten chipset zaaplikował. Ja mam APki na RISC/PRISM i dużo droższe modele maja tą opcję .... ale , jak juz mówiłem są droższe . Co ciekawe , na tych APkach jest możliwośc ustawienia czy izolacja klientów dotyczy danego APka czy całej podsieci.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

arpwatch?

Nic nie trzeba robić, przecież odwzorowania IP->MAC w stosunku do SERWERa będą działały prawidłowo. Tutaj nic się nie zmienia.

W taki sam sposób użytkownicy mogą obejść to "zabezpieczenie":)


Hmm, można np. napisać krótki programik, który nie będzie robił nic innego tylko przez cały czas co sekundę wysyłał odpowiednio spreparowane pakiety ARP.
Możesz do tego wykorzystać też programik nemesis.
Przy założeniach z poprzedniego postu.

W tym przypadku zostanie wysłany pakiet ARP(REPLY) do komputera A(192.168.0.2), mówiący, ze komputer B(192.168.0.3) znajduje się pod adresem sprzętowym cc:cc:cc:cc:cc:cc, który nie istnieje w tej sieci. Tym sposobem komunikacja pomiędzy tymi dwoma komputerami zostaje zablokowana. Dla pewności wysyłasz jeszcze analogiczny pakiet do komputera B. Oczywiście to polecenie wydajesz z SERWERa(lub innego komputera podpiętego do tej sieci), zakładając, ze eth0 jest fizycznym interfejsem, przez który SERWER ma bezpośredni dostęp do komputerów A i B.
Dla zwiększenia automagiczności można to sobie wszystko oskryptować i odpalać w screenie.

Jak wygląda z wysyłaniem informacji do komputerów : czy jeden raz wysłana informacja starcza aż do resetu komputera/serwera czy należy z jakąś czestotliwością to wysyłac czy w zależności od jakichś czynników ?

Szukam czegoś nt nemezis ale nic nie mogę znaleźć. Możesz coś podsunąć ? Jakiś adres z info ? I jeszcze jedno : nie można pod nowym NND tego zainstalować . Pokazują się błędy . Możesz coś podpowiedzieć ?

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Hmm, optymalną częstotliwość wysyłania tych pakietów ustal sobie doświadczalnie. Twój niecny plan może zniweczyć: otrzymanie poprawnej odpowiedzi ARP lub wygaśnięcie wpisu w ARP cache'u. Wydaje mi się, że dla pewności możesz wysyłać np. co 1 sekundę, ale to jeszcze zależy od wielu czynników(m.in. systemów operacyjnych, ilości komputerów w sieci).


http://www.packetfactory.net/projects/nemesis/
Może to Ci pomoże, ale opis wszystkich opcji masz w helpie programu.
Tylko musisz wiedzieć co dokładnie chcesz osiągnąć, bo dzięki temu narzędziu można stworzyć prawie dowolny pakiet.


Hmm, moja krysztalowa kula ostatnio zawodzi, ale popatrzę w nią i odgadne dlaczego nie mozesz zainstalować. Brak biblioteki libnet w wersji 1.0.2a?

http://www.packetfactory.net/libnet/dis ... .2a.tar.gz

U mnie poszło;)

Nie arpwatch ....
Arpwatch służy tylko do kontroli par IP-MAC.
Używam go do tego właśnie.
Lepszy jest arphound, który sprawdza pary IP - MAC we WSZYSTKICH pakietach nie tylko w pakietach arp

Programik który zabezpiecza przed podmianą MAC jest
IP_sentinel (poświęciłem sie i to znalazłem).

Tam jest tez odpowiedx jak często trzeba wysyłać pakiety arp.
Sentinel wysyła je każdorazowo po otrzymaniuy zapytania 'arp'

należy zdawać sobie sprawę, że bez tego zapytania 'arp' nic nie wyślemy do innego komputera ( nie wim tylko, czy jak mamy stała tablicę arp to czy nasz komp wysyła zapytania 'arp').

Z tym, że na AP'ku można właśnie zablokować rozprzestrzenianie się brodkastów w tym zapytań 'arp'. Czego wynikiem jest właśnie oddzielenie klientów od siebie.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

To jest też bardzo ciekawe rozwiązanie i na pewno dało by się to zrobić na serwerze . Tylko jak ? Czy wystaczy zablokowac protokół 0x0806 i po sprawie ? Jak go zablokować ??

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Zrobiłem to , przefiltrowałem na APku 0x0806 i ...... heh ..... net działa , ale na APka nie mogę się wdostać , nie mogę go z serwera pingować ani wejśc telnetem .... i faktycznie izolacja klientów jest perfect . Co więcej - statystyki Zciecha nic nie pokazują dla IP z tego AP :):)

teraz tylko pytanie : jak to zrobić dla wybranych hostów ??

i następne : jak wejść na APka , który ma filtrowany ARP .... leżę i kwiczę

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Na moich AP NIE można wyróżniać kompów. Wszystkie albo nic.

Do AP możesz próbować się dostać na sztywno ustawiając IP-MAC w arp'ie.
Problem tylko czy na AP'ku też da się tak zrobić. ? Jak nie to będziesz musiał chyba wleżć i go zresetować Mam nadzieję, że nie uważasz iż to moja wina (odcięcie AP)).

Jakie masz AP'ki ?

Jak nic nie pokazują statystyki zCiecha to te kompy mogą nie iść swoimi ścierzkami HTB . Statystyki zCiecha to parsowanie wyników z HTB jądra.
Trochę dziwne biorąc pod uwagę, że HTB dzili kompy w/g ip a nie mac

Nie ma ani uploadu ani downloadu ?? Ale dla AP czy dla AP i kompów podlegających temu AP ?

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

No pewnie ,że tak uważam . Heh , no coś Ty , to na prawdę dobry pomysł z tą izolacją , tylko jak to wykonac dla wybranych mac'ów albo IP'ków ?? Gdybym pomyślał , to bym popróbował na jakimś zapasowym ...



IWE1100PRO. Wersja ADVANCED ma wbudowaną izolację klientów.



Nic nie pokazywało się w statystykach - ani klienci ani AP ( w zasadzie AP nigdy się nie pokazywał - kiedyś już o tym rozmawialiśmy nawet ) . Ale sprawdziłęm to i wiem czemu tak było . Mianowicie podłaczyłem się do tego punktu moim kompem i przez kilka minut net śmiga i nagle umiera. Dlatego staty po chwili nic nie pokazują .... Nie wiem tylko dla czego tak jest .
Nawiasem mówiąc musiałem jednak obalić maszt na bloku i zrobić reset .....

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Nie chcę już poprawiać swego poprzedniego posta ale mogłeś jeszcze spróbować oprogramowaniem firmowym ( nie www ale tym od AP'ka ). Niektóre z nich chodzą na innym protokole i może by się przebiły.

Z tą statystyką to dziwna sprawa
W komfiguracji ( rc.htb) WSZĘDZIE jest rozpoznawanie po ip. Może jądro mimo, że się konfiguruje po ip rozpoznaje kompu po MAC wzięte np. z arp'a
Ale jak na routerze masz ok ! To czemu nie działa HTB ?

A dlaczego jednym chcesz łączność odebrać a drugim dać ?
- wolne mysli -
Możesz jeśli używasz zakłocacza z innego kompa poprzez 'arp reply" zakłócać wybrane komputery albo odciąć wszystkim a wybrane kompu ROUTOWAĆ NA SERWERZE ( czyli 192.168.0.10 - przerutować do - 192.168.12). Możesz też wybrańcom dać wirtualne numery i zrobić routing w wirtualnej sieci.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Chyba się nie rozumiemy . Ja nie chcę odebrać dostępu do netu tylko dostępu do SIEBIE nawzajem klientów w lanie .

Oprogramowaniem firmowym spokojnie mogłem się zalogować i ustawiać ,ale nie stety nie pozawala na ustawienia w niektórych panelach APka ( m.in. właśnie na ustawianie sekcji filtrów ) . Staty generalnie działają jednak a dla tego po chwili pokazują "zero" bo dostęp do netu na takim APku po chwili jakby "wygasa" .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody