URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59499
[ Назад ]

Исходное сообщение
"запретить подмену IP и MAC"

Отправлено LyLoo , 26-Авг-05 12:39 
Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями локальной сети. Не могу реализовать это с помощью прописывания статической ARP таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1 0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
Address        HWtype  HWaddress    Flags   Mask       Iface
192.168.100.1   *           *         MP               eth0

Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно, но ведь такой адрес уже есть в сети. Что я делаю неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение "только что указанный статический IP-адрес уже используется в сети"? Такая возможность точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!


Содержание

Сообщения в этом обсуждении
"запретить подмену IP и MAC"
Отправлено Koba_LTD , 26-Авг-05 14:22 
>Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями
>локальной сети. Не могу реализовать это с помощью прописывания статической ARP
>таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1
>0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
>
>Address        HWtype  HWaddress  
>  Flags   Mask      
> Iface
>192.168.100.1   *        
>  *        
>MP          
>    eth0
>
>Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно,
>но ведь такой адрес уже есть в сети. Что я делаю
>неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение
>"только что указанный статический IP-адрес уже используется в сети"? Такая возможность
>точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!


А почему ты решил что такой адресс есть в сети он есть в твоей arp таблице на сервере а не всети. И это запись означает что сервер на запрос с 192.168.100.1 будет отвечать на arp адресс 00:..... но это вовсе не запретит сменить на локальном компе ip адрес а если поменять еще и мак на 00:..... то юзверь будез замечательно себя чуствовать


"запретить подмену IP и MAC"
Отправлено Straker , 26-Авг-05 14:59 
>Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями
>локальной сети. Не могу реализовать это с помощью прописывания статической ARP
>таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1
>0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
>
>Address        HWtype  HWaddress  
>  Flags   Mask      
> Iface
>192.168.100.1   *        
>  *        
>MP          
>    eth0
>
>Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно,
>но ведь такой адрес уже есть в сети. Что я делаю
>неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение
>"только что указанный статический IP-адрес уже используется в сети"? Такая возможность
>точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!


Если выдается сообщение "только что указанный статический IP-адрес уже используется в сети" то такой адрес используется в сети. Одна из защит это выдавать адреса по DHCP. Но есть одна проблема. Если кто-то в сети поднимет этот сервис на Windows, то вся сеть отвалится. Есть еще одно решение - оно связано с использованием оборудования Cisco. В нем можно указать точно откуда и куда какие пакеты должны ходить. Если сеть корпоративная, то проще. Нужно просто использовать взыскания с сотрудников, которые пользовались подменой. Если никак нельзя давить на пользователей(сеть слишком большая, и ты не главный админ; домовая сеть с выходом в инет), то есть только один выход - VPN для пользователей.


"запретить подмену IP и MAC"
Отправлено Skif , 26-Авг-05 15:45 
Как вариант radius и оборудование с его поддержкой, оборудование с поддержкой port security и т.д. Вариантов много, но все они , как правило, денежные. 100% гарантии нет, так что взыскания (читать выше) никто не отменял

"запретить подмену IP и MAC"
Отправлено LyLoo , 26-Авг-05 16:03 
Я сам подключен к сети, в которой реализована подобная защита. Оборудование полностью неуправляемое. Если поднять DHCP на сервере, а пользователь отключит DHCP-клиент и будет указывать IP явным образом, будет ли он подключаться к сети или нет??? Неужели нельзя реализовать данную защиту посредством изменения arp таблицы на сервере. В описании команды arp написано, что если делать статическую запись в таблицу с указанием флага pub, то эта запиь становится публичной для всех компьютеров в сети, или я не правильно понял???? Тема остается открытой. Подскажите как другими способами програмно реализовать привязку MAC <-> IP, чтобы подключаясь к сети пользователь не мог изменить свой IP-адрес или МАС?????

"запретить подмену IP и MAC"
Отправлено suslic , 27-Авг-05 00:39 
я рекомендую (сам пользуюсь)
утилита ip-sentinel
там просто никто не сможет себе взять другой адрес - утилита сразу выдаст ложный арп ответ - связи у него не будет - и напишет (ИСПОЛЬЗУЕТСЯ УЖЕ АЙ-ПИ АДРЕС)


"запретить подмену IP и MAC"
Отправлено LyLoo , 28-Авг-05 19:37 
спасибо за совет, именно это я и искал :-)