Freesco, NND, CDN, EOS

Witam i sie pytam:
Jak wprowadzić w życie takie cuś:
Klient z laptopem jest w zasiegu mojej sieci,
gdy sobie ustawi adresy na sztywno, albo odzyska z puli DHCP(umyślnie ustawione bedzie w dhcpd.conf), to chcę, żeby jedyne co mu sie pokazalo, to np: Strona z mojego serwera z reklamą mojej sieci, adresie, tel. info o abo, itp., i to wszystko.
Nie mogłby on nic w mojej sieci bez mojego udzialu zrobic, tj. www, mail, gadu, itp.
Tylko strona informacyjna mojej sieci.
To samo ma się wyswietlac kazdemu, obojetnie czy w WLAN'ie, czy tez w LAN'ie.
Słyszałem też że ludkowie w mojej miejscowości chodzą z laptopami po ulicach i śledzą za pomoca programików Adresy IP i MAC, a potem u siebie zmieniają te adresy na legalnych klientów, i maja dostep do sieci, a legalny klient wtedy nie ma netu.
Czy można to zabezpieczyc?
Dodam na koniec, ze mam NND z lipca, iptables (firewall by Czerwo),DHCP ustawione na sztywno do ludzi po MAC'ach, ARP<>IP, czyli nikt teoretycznie nie wejdzie mi w siec, ale to tylko teoria.

_________________
(...)bo każdy pijak, to złodziej!!! (...)

jeśli podmieni Mac i IP to ja nie wiem co zrobić. Ale dla innych użytkowników pokombinuj z wezwaniem do zapłaty lub "tablicą ogłoszeń". Gdzieś czytałem o tym W razie czego.. tak tylko teoretycznie snuję:)

Większość tego postu napisałeś nie na temat . Jeżeli chodzi o adresy IP którym ma się wyświetlić reklama to możesz zrobić tak, że przefiltruj mac'i arpem, a pozostałe ip'ki/mac'i przekieruj na te stronkę z reklamą (serwer www).

_________________

Post pomocny? Ofiaruj puncika.
"People say you're bad, you're sad."

Witam

Zainteresował mnie ten post i uznalem ze przydałby sie taki motyw. Wiec pokolei. na serwerze mialem wyłączone DHCP.Adresy użytkownicy wpisują z ręki (arp czuwa nad zmina IP). Wymyslilem sobie to tak,że włącze DHCP i range ustawiee na 192.168.1.30 - 192.168.1.31 (nie pokrywa sie ze statycznymi wpisami). nastepnie stworzylem serwer www (thttpd) na porcie 87. Stworzylem katalog reklama i odpalilem go. zrobilem przykładowy index.html. po wpisaniu w przegladarke 192.168.1.1:87 wyskakuje komunikat taki jak chcialem. A wiec do tego momentu dziala. Adres DHCP to tylko jeden numer 192.168.1.30 (tak ustawiona ranga). Dalej przekierowalem ten adres na 192.168.1.1:87 poleceniem: iptables -D PREROUTING -t nat -s 192.168.1.30 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:81. W konfiguracji swojej karty sieciowej (TCP/IP) robie automatyczne pobieranie Ip i DNS. Niestety NIE DZIAŁA. stronka na porcie 87 nie pojawia sie.gdzie moze być błąd???? A może czegoś brakuje. W konsoli (winda) jak wpisze ipconfig to faktycznie przyznaje mi adres 192.168.1.30 czyli DHCP jakoś tam dziala. Macie jakies propozycje???

Pozdrawiam
JAca

A to ze po wpisaniu tej reguly wyskakuje blad zupelnie Ci nie przeszkadza? Poczytaj troche o iptables, bo po pierwsze nie tworzysz reguly, tylko ja usuwasz, a po drugie serwer www masz na porcie 87, a nie 81.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Faktycznie błąd w poście ale wklepywalem dobrze tylko mam taki wzór zapisany i w tym poscie akutar go nie zmodyfikowalem do konca. Faktycznie to wpisywalem tak:
iptables -A PREROUTING -t nat -s 192.168.1.30 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:87. jakies kolejne rozwiązania

Regula prawidlowa. Nie wiem Co tam namodziles w tabeli nat, ale sproboj dodac -I zamiast -A

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Nie pomogło. "Nie można wyswietlic strony". Myslalem ze adres 192.168.1.30 zostanie przydzielony osobie która nie skonfiguruje sobie protokołu TCP/IP i zamisat wpisac z reki swój adres zrobi automatyczne wyszukiwanie lub jak kolega pisal w pierwszym poscie posłuzy za reklame sieci jesli ktos sie podłączy do AP. Szkoda pomysł był niezły tylko nie wypalił. Nie robilem nic oprócz tego co pisałem przynajmniej mi sie tak wydaje

no dobra, przekierowanie można zrobić, ale nie w tym tkwi problem autora posta. Dla sieci włamywacz, który zmienił ip i MAC na prawidłowe bedzie prawidłowym klientem . Moim zdaniem trzeba zabezpieczyć bezprzewodówkę, zeby byle cwaniaczek nie dał rady tak szybko - przynajmniej żeby mu to zajęło ...no więcej niż czas pracy laptopa na bateriach.
Wiadomo,ze zabezpieczenia wireless są g... warte. SSID zmieniony wyłapie, ip i MAC- juz doświadczyłeś, szyfrowanie tez prędzej czy później złamie, poza tym (z tego co pamiętam) to AP'ek przesyła część informacji bez szyfrowania.
Jedyne co mi przychofdzi do głowy to częsta (codzienna??) zmiana klucza szyfrującego i SSID . moze ustalić z góry, że codziennie np. o 14-tej zmienisz klucz?
a userzy mieli by wcześniej na kartce te klucze??
Tylko powstaje problem z uczciwościa userów
Ja staram się MAX utrudnić życie takim osobom, np. poprzez (nie śmiać się) słaby sygnał i odpowiednie ustawienie anten (i dobór anten). Koleś z laptopem tak naprawdę na niewiele miejsc, gdzie na powierzchni ziemi mógłby mieć na tyle duży sygnał,zeby wystarczyło na otwarcie stronki. Musi wejść na dach i to z co najmniej yagą 13dbi i krótkim kablem, zeby coś z tego było. a to i tak tylko max 250 metrów od apeka. Dalej to juz musi wytaszczyć parabolkę siedząc na ławce czy w samochodzie nawet nie zobaczy mojej sieci (chyba,ze sa jakieś odbicia, itp)
Cała idea sieci opiera się na małych komórkach i kilku apekach, - do jednego ap podpinam nie wiecej niż 10 klientów wireless (przeważnie są to apclient) a dalej leci juz kablami. dlatego nie mam zbytnio kłopotu nawet z HUB'em DC w LAN - apeki są słabo obciązone i połączenia śmigają aż miło. Poza tym zysk jest taki,ze apclient jest cały czas włączony i cwaniakowi trudniej przejąc jego MAC i IP (jedynie co osiągnie to zawieszenie na chwilke ap-client i reset całego systemu (apeka i apclient)

Akurat mi nie chodziło o sam fakt włamywania sie do sieci a o idee reklamy. klient wyłapuje mojego apeka próbuje sie połączyc z DHCP przypisywany mi jest adres 192.168.1.30 następnie ten adres przekierowywany jest na adres serwera 192.168.1.1:87 a tam tkwi juz moja reklama. Cały problem niestety ja nie poradzielm sobie z nim. Włamywania do sieci podmiana MAC i tym podobne to juz inny problem ale nie o to mi chodziło

Tak sobie pomyślałem gdzie moze jeszcze tkwic problem i stawiam na ARP.
Dotychczas mialem ustwiaone tak w pliku ethers
192.168.1.1 jakis tam Mac
192.168.1.3 jakis tam MAc
itd
192.168.1.30 0
192.168.1.31 0
itd.
wiec pod IP .30 neta tez nie było
wpsalem komende arp -d 192.168.1.30 i czy to wystarczy na usuniecie Ip z tablicy. jak wejde w plik ethers to 192.168.1.30 nadal tam figuruje. jak to odblokowac aby na IP 192.168.1.30 był internet. przed zastosowaniem tych wpisów ze zerem moglem wpisac 192.168.1.200 i internet był jednak postanowilem to pozmieniac a teraz bym potrzebowal ponownie te wolny IP.