Уважаемые UNIX-гуру помогите пожалуйста решить проблему сети. За последнюю неделю одним из подключенных к нету юзверей было похищено 25 гигабайт. Изначально действовала привязка всех юзверей по критерию MAC-IP. Взломщик элементарно перепрошил макушник на своей сетевухе и стал выходить в инет под чужим айпишником. В итоге деньги насчитались другому человеку (типичная ситуация...:-( надо срочно эту проблему решить паралирование доступа в инет ОТПАДАЕТ по некоторым причинам ... мне в голову приходит только вариант (из бюджетных) организовать на сегменте, где может быть хакер еще один роутер и поставить на нем IPFW с правилами доступа в нет только тем айпишникам которые будут находиться в этом сегменте, таким образом это сократит спектр IP адресов под которыми можно выйти в инет (примерно мы представляем где может находится этот хакер). А теперь дело за технической реализацией: поставить сервак мы поставим, IPFW установим и правила на нем пропишем,...
да вот как сделать так, чтобы не менять шлюз прописанный на машинах у юзверей (осн. сервер) на IP адрес нового роутера. Да ивообще как можно организовать роутинг по вновь установленному серверу учитывая , что роутить придется в одной IP-сети ведь нельзя поставить на одной машине два интерфейса с IPшниками одной сетки...?
то есть иными словами нужно прописывать интерфейсы на этом роутере и возможно какие правилы маршрутизации надо создавать чтобы не пришлось менять шлюз на клиентских машинах на новый??? (роутер должен быть невидим -прозачен для юзверей этого сегмента)!!!!!
Помогите пожалуйста... сами понимаете попадаю на деньги!!!
IP-network-212.48.149.128-255
mask 255.255.255.128
mainrouter 212.48.149.129
В надежде на скорый ответ и благодарностью за него.
Константин.
>Уважаемые UNIX-гуру помогите пожалуйста решить проблему сети. За последнюю неделю одним из
>подключенных к нету юзверей было похищено 25 гигабайт. Изначально действовала привязка
>всех юзверей по критерию MAC-IP. Взломщик элементарно перепрошил макушник на своей
>сетевухе и стал выходить в инет под чужим айпишником. В итоге
>деньги насчитались другому человеку (типичная ситуация...:-( надо срочно эту проблему решить
>паралирование доступа в инет ОТПАДАЕТ по некоторым причинам ... мне в
>голову приходит только вариант (из бюджетных) организовать на сегменте, где может
>быть хакер еще один роутер и поставить на нем IPFW с
>правилами доступа в нет только тем айпишникам которые будут находиться в
>этом сегменте, таким образом это сократит спектр IP адресов под которыми
>можно выйти в инет (примерно мы представляем где может находится этот
>хакер). А теперь дело за технической реализацией: поставить сервак мы поставим,
>IPFW установим и правила на нем пропишем,...
>да вот как сделать так, чтобы не менять шлюз прописанный на машинах
>у юзверей (осн. сервер) на IP адрес нового роутера. Да ивообще
>как можно организовать роутинг по вновь установленному серверу учитывая , что
>роутить придется в одной IP-сети ведь нельзя поставить на одной машине
>два интерфейса с IPшниками одной сетки...?
>то есть иными словами нужно прописывать интерфейсы на этом роутере и возможно
>какие правилы маршрутизации надо создавать чтобы не пришлось менять шлюз на
>клиентских машинах на новый??? (роутер должен быть невидим -прозачен для юзверей
>этого сегмента)!!!!!
>Помогите пожалуйста... сами понимаете попадаю на деньги!!!
>IP-network-212.48.149.128-255
>mask 255.255.255.128
>mainrouter 212.48.149.129
>В надежде на скорый ответ и благодарностью за него.
>Константин.если есть свич хаб,рассмотри вариант - cоздать на его порту VLAN и прописать туда нужные ip, тогда юзверь в другую сеть не вылезет
>если есть свич хаб,рассмотри вариант - cоздать на его порту VLAN и
>прописать туда нужные ip, тогда юзверь в другую сеть не вылезет
>Комутаторы постоянно обновляют свою базу данных.
Если я не ошибаюсь в крутых комутаторах есть интесная возможность отключить обновление на некоторые порты. Таким образом обновление подозрительных портов выключить, и любой новый MAC будет отвергнут на этом порту.
вычитал на 3com 3300 по англицки. Если кто делал это поправьте...
чтобы поймать того юзверя глянь на arpwatch
Программа позволяющая отследить пользователей самовольно присвоивших себе IP адрес, путем мониторинга изменений в таблице ARP. Информация об обнаруженных инцедентах направляется администратору на email и сохраняется в лог файле.http://www.opennet.me/opennews/art.shtml?num=114&showsection...
Сто раз уже говорили mpd или poptop!!!!!
>быть хакер еще один роутер и поставить на нем IPFW с
>правилами доступа в нет только тем айпишникам которые будут находиться в
>этом сегменте,Не настраивай маршрутизацию, просто настрой бриджинг, IPFW прекрасно умеет фильтровать пакеты проходящие транзитом через bridge.
Можете считать это платой за собственную некомпетентность. Ничего личного, Константин, я имею в виду вашу фирму, а не Вас. Кто вам сеть проектировал? Недоучившийся студент? Привлечь квалифицированных специалистов - денег пожалели? Скупой платит дважды."Сие да послужит орлам уроком" (Салтыков-Щедрин)
Отвечая по делу - перестраивайте сеть, используйте PPPoE + Radius. И ваши проблемы с биллингом и учётом уйдут в прошлое.
>Можете считать это платой за собственную некомпетентность. Ничего личного, Константин, я имею
>в виду вашу фирму, а не Вас. Кто вам сеть проектировал?
>Недоучившийся студент? Привлечь квалифицированных специалистов - денег пожалели? Скупой платит дважды.
>
>
>"Сие да послужит орлам уроком" (Салтыков-Щедрин)
>
>Отвечая по делу - перестраивайте сеть, используйте PPPoE + Radius. И ваши
>проблемы с биллингом и учётом уйдут в прошлое.Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.
>Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.Не-а, не видел :(
Хотя, наверняка где-то есть. Посмотрите на ресурсах. Начните с google.
>Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.Цельной не видел, а про PPPoE можно кое-что вот тут:
http://www.unixfaq.ru/index.pl?id=79радиус прикручивается стандартным способом...