Freesco, NND, CDN, EOS

WITAM
Jedno pytanko czy w tym firewalu można podać w plikach IP_redirect lub IP_deny zamiast pojedynczego adresu IP można jakoś podać zakres numerów IP??
Moje pytanie wynika stad ze u mnie w sieci jest taka sytuacja ze jest kilku userów (mają przydzielane IP automatycznie adresy przez dhcp w zakresie 192.168.1.51 do 192.168.1.65) ale nie są zainteresowani dostępem do Internetu a czce im ograniczac dostępu do otoczenia sieciowegi
i kilku pojawiło sie ostatnio takich ktorzy kombinuja wpisujac sobie różne stałe adresy IP...itd

we freesco miłem domyślnie zablokowany dostęp do netu dla wszystkich IP i następnie był odblokowywany tylko dla tych "wybranych"( którzy składają sie wspólnie na abonament za łącze)
T widzę jest filozofia odwrotna.....która wymaga ponad 200 wpisów w IP_Redirect zeby przyblokować wszystkich kombinatorów jak i tych którzych internet nie interesuje?

czy można tę czynność jakoś uprościć???

POZDRAWIAM

Daj wszystkim co mają mieć net ip z dhcp i utwórz zakres range np. 192.168.1.20 - 192.168.1.21 które dodajesz do redirect owym sposobem server przydziela ip, które nie mają mieć internetu dynamicznie, a wpisanie ręcznie ip nic nie daje

_________________

Lubię robić to co lubię :]

Za dużo kombinacji.....
Użyj ARP i będą mogli sobie do woli wpisywać adresy.

_________________
Pozdrawiam

mam tak

a) dla IP 192,168,1,2 do 192.168.1.30 dhcp przydziela IP wg MAC-a a ARP pilnuje zeby nie było w tym zamieszania
b) mam zakres 192,168,1,51 do 192,168,1,65 gdzie ludziom przydziela IP dynamicznie-(bez wpisów w deny lub redirect tez beda mialy net-chyba bo dlaczego nie)- ale tu trzebaby sie zagłebic w firewalla
c) sa ludki ktore sobie np wpisaly IP np192,168,1,200 i bez odpowiednichwpisow w firewallu(konkretnie IP_deny lub redirect) tez raczej maja net

wiec pytanie do CZERWO czy ja rozumuje poprawnie:
1)net jest przydzielany dla całej podsieci z interfejsem podanym w konfigu firewalla czyli w moim przypadku 192.168.1.1 za wyjątkiem:
adresów które sa wymienione w IP_DENY i IP_redirect tak?


EDIT : do jack
dotychczas myslałem ze ARP tylko pilnuje zeby dhcp przydzieliło IP do konkretnego MAC-a czy tez sie ty myle?

mam teraz w sieci dwoch kolesi co wpisali sobie IP z reki i moge im nafiukac

Mylisz sie.
ARP służy do przydzielania ip do konkretnego MAC karty.
Jeżeli IP nie będzie się zgadzać z MAC to user nie bedzie miał internetu.
Ni epotrzebne są kombinacje z firewallem, chyba że userzy zmieniają sobie MAC-ki, w co wątpie.

_________________
Pozdrawiam

moj ethers wyglada mniej wiecej tak"



ale czemu mialby nie miec netu skoro:
1)wpisze sobie z reki adres IP np 192.168.1.100
albo
2)bedzie mial przydzielone IP dynamicznie np: 192.168.1.51?
napisałeś ARP....do przydzielania -tu miales na mysli serwer?
czy ARP nie pozwala na wpisanie sobie z reki dowolnego IP spoza stale przydzielanych i tych przsydzielanych dynamicznie?

Masz zły wpis w ethers...
Czy ty wogóle czytałeś coś o ARP????
Radze sobie poczytać.
Plik ethers powinien wyglądać tak:

Oczywiście należy wpisać odpowiednie wartości ale tobie wole to napisać
ARP drogi kolego służy do tego aby nikt Ci własnie na lewo sie nie podpiął do netu.
Jeżeli nie rozumiesz to próbuj z firewallem i życze powodzenia......

_________________
Pozdrawiam

troche mi sie podjaralem i pomyliłem ale mam tak u siebie



te MAC-i sa wpisane na stale w dhcp.conf w ktorym jest jeszcze zapis o
dynamicznym przydziale w zakresie 192,168,1,51 do 192,168,1,65

a teraz zprawdzalem przaed chwila i pojawil sie w sieci gosciu z adresem 192,168,1,250

wiec o co cho?
wiec moje pytania do CZERWO sa nadal aktualne

i ma internet?
Napisz te MAC-ki z duzej litery.

_________________
Pozdrawiam

co do ARP to cytowałem:http://forum.freesco.pl/viewtopic.php?t=5784

Nie ma sensu chyba przepisywać MACów z duzej bo na freesco działało i teraz też poprawnie przydziela IP zgodnie z MAC choc z tym DHCP mam inny problem (szczegóły na innym watku http://forum.freesco.pl/viewtopic.php?t=6738 i chyba http://forum.freesco.pl/viewtopic.php?t=6395 rownież

a czy gosciu ma net to nie wiem bo nie wiem kto to jest......siec przejalem po kims innym i jeszcze dodatkowo jestem nowym lokatorem wiec nie znam prawie nikogo i z ta siecia w tym bloku to jest cała historia.... i nie jest w tej chwili ważna

Ale nie wiem czy gościu ma net bo nie wiej jak to sprawdzic zapodaj jak to wyczuc... bede dzwieczny

Co do mojej wypowiedzi
Nie wydaje mi się że to wielki problem, a działa wyśmienicie i rozwiązuje ten problem :]

_________________

Lubię robić to co lubię :]

przed chwila zrobilem doswiadczenie wpisalem sobie IP spoza stałych przydziałów 1.8...1.31(pilnowanych ARPem ) i dynamicznych 1.51...1,65 a konkretnie 192,168,1,31 dodałem jeszcze dnsy i mam neta


"W sytuacji gdy ktoś nada sobie IP nie kolidujący z innymi użytkownikami w sieci oraz nie będący w tablicy ARP ma dostęp do naszego serwera a zatem ma dostęp do Internetu. Aby uchronić się przed wypisywaniem wszystkich możliwych IP w naszej sieci i przydzielaniem im "fałszywych" MAC sprawę załatwiamy za pomocą firewall'a."
cytuje za http://bolo.one.pl/dhcp.htm

Dla ARPa mozna wpisac wszystkie IP wystepujace dla danej podsieci i nieuzywanym nadac zmyslony MAC.....jest to pewne rozwiazanie(u mnie to ponad 200 wpisów przy masce /24) ale to to samo co zrobic podobne wpisy w firewallu czyli (IP_deny lub ip_redirect)
Wszystko to tylko potwierdza moja teze ze przydałoby się zeby w tych plikach firewalla mozna było oprócz pojedynczych IP podawac również zakresy IP

Ten firewall nie "chroni" pozostalych adresow.

1. kopiujesz /etc/hosts do /etc/iptables
2. edytujesz plik /etc/iptables/hosts wywalajac zbedne wpisy, zostawiasz tylko adresy i nazwy hostow w sieci
3. w /etc/iptables.firewall_n zmieniasz fragment:

na

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Mam kilka pomysłów co by mozna było dodac do firewalla, mozna podyskutowac czy to potrzebne czy nie ale z takich funkcji bałwan jestem we freesco dlatego o nich napisze, nie powinny byc trudne do wprowadzenia:
Takie funkcje jak:
1) Blokada zakresu portów dla danej osoby np. od 5000 do 1000
2) zablokowanie danej osobie wszystkich portów i odblokowanie wybranych np www, poczta, ssh
3) no i zabloowanie konkretnemu ludkowi kazy

ta kaza to ogólnie p2p

mozna dodawac wszystko tylko dajcie bałwan jestem bo ja nie znam iptablesa.

Widze Zciecha ze zrobiles to co w starym nnd bylo czyli nie robisz maskarady dla wszystkich hostow tylko dla wybranych. Moze faktycznie zrobic tak juz do konca zeby nie robil domyslnie maskarady dla wszysytkich hostow tylko dla wybranych. Ulatwiloby to blokowanie niechcianych adresow.

Gdybys mogl Zciecha napisac bałwan jestem dla blokowania p2p dla konkretnego ip bylbym bardzo wdzieczny.

Pozdrawiam i dzieki za pomoc

_________________

Panowie mowcie i piszcie co chcecie ale ten frewall nie działa otwarłem port w thttpd na wew usługi i nie otwierałem tych portów we frewalu a porty mam otwarte taka sama sytuacja z przekierowaniem mam wpisane przekierowanie i otwarty port w config frewall a skanowanie pokazuje że zamkniete

MOŻE GDY ZCIECH SIE ZA TO WEZMIE TO BĘDZIE DZIAŁAĆ JAK TRZEBA !!!


teraz mam tyko kłopot nie wiem jak go odinstalowac

_________________
Jarek

co do odinstalowania (jeden ze sposobów) to wgraj do /etc/iptables/ zbackapowany-stary plik firewall i empty.rules i reboot i masz juz podstawowy firewall ktory miales po pierwszej instalacji NND

Mozna jeszcze dodac przekierowanie do proxy tylko nie wiem czy to powinno byc tam czy nie ale to przeciez nie kazdy musi włączac
iptables -A PREROUTING -t nat --in-interface eth0 --protocol tcp --destination-port www \
--jump DNAT --to-destination 192.168.0.1:8080

Brawo

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz