Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями локальной сети. Не могу реализовать это с помощью прописывания статической ARP таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1 0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
Address HWtype HWaddress Flags Mask Iface
192.168.100.1 * * MP eth0Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно, но ведь такой адрес уже есть в сети. Что я делаю неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение "только что указанный статический IP-адрес уже используется в сети"? Такая возможность точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!
>Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями
>локальной сети. Не могу реализовать это с помощью прописывания статической ARP
>таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1
>0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
>
>Address HWtype HWaddress
> Flags Mask
> Iface
>192.168.100.1 *
> *
>MP
> eth0
>
>Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно,
>но ведь такой адрес уже есть в сети. Что я делаю
>неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение
>"только что указанный статический IP-адрес уже используется в сети"? Такая возможность
>точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!
А почему ты решил что такой адресс есть в сети он есть в твоей arp таблице на сервере а не всети. И это запись означает что сервер на запрос с 192.168.100.1 будет отвечать на arp адресс 00:..... но это вовсе не запретит сменить на локальном компе ip адрес а если поменять еще и мак на 00:..... то юзверь будез замечательно себя чуствовать
>Прочитал на форуме про возможность запрета подмены IP и MAC адресов пользователями
>локальной сети. Не могу реализовать это с помощью прописывания статической ARP
>таблицы на сервере под Linux RedHat. Пишу команду arp -s 192.168.100.1
>0:0:0:0:0:0 -i eth0 pub. После смотрю arp, моя запись выглядит так:
>
>Address HWtype HWaddress
> Flags Mask
> Iface
>192.168.100.1 *
> *
>MP
> eth0
>
>Меняю на клиенте IP-адрес на 192.168.100.1, пытаюсь выйти в сеть - успешно,
>но ведь такой адрес уже есть в сети. Что я делаю
>неправильно??? Как сделать чтобы при подмене клиентом своего IP-адреса выдавлось сообщение
>"только что указанный статический IP-адрес уже используется в сети"? Такая возможность
>точно реализуется (видел сам), но не знаю как. Помогите плиииззз!!!
Если выдается сообщение "только что указанный статический IP-адрес уже используется в сети" то такой адрес используется в сети. Одна из защит это выдавать адреса по DHCP. Но есть одна проблема. Если кто-то в сети поднимет этот сервис на Windows, то вся сеть отвалится. Есть еще одно решение - оно связано с использованием оборудования Cisco. В нем можно указать точно откуда и куда какие пакеты должны ходить. Если сеть корпоративная, то проще. Нужно просто использовать взыскания с сотрудников, которые пользовались подменой. Если никак нельзя давить на пользователей(сеть слишком большая, и ты не главный админ; домовая сеть с выходом в инет), то есть только один выход - VPN для пользователей.
Как вариант radius и оборудование с его поддержкой, оборудование с поддержкой port security и т.д. Вариантов много, но все они , как правило, денежные. 100% гарантии нет, так что взыскания (читать выше) никто не отменял
Я сам подключен к сети, в которой реализована подобная защита. Оборудование полностью неуправляемое. Если поднять DHCP на сервере, а пользователь отключит DHCP-клиент и будет указывать IP явным образом, будет ли он подключаться к сети или нет??? Неужели нельзя реализовать данную защиту посредством изменения arp таблицы на сервере. В описании команды arp написано, что если делать статическую запись в таблицу с указанием флага pub, то эта запиь становится публичной для всех компьютеров в сети, или я не правильно понял???? Тема остается открытой. Подскажите как другими способами програмно реализовать привязку MAC <-> IP, чтобы подключаясь к сети пользователь не мог изменить свой IP-адрес или МАС?????
я рекомендую (сам пользуюсь)
утилита ip-sentinel
там просто никто не сможет себе взять другой адрес - утилита сразу выдаст ложный арп ответ - связи у него не будет - и напишет (ИСПОЛЬЗУЕТСЯ УЖЕ АЙ-ПИ АДРЕС)
спасибо за совет, именно это я и искал :-)