URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68959
[ Назад ]

Исходное сообщение
"Настройка DHCPD. Безопасность сети. iptables."

Отправлено sanches , 16-Сен-06 12:43 
Всем привет.
Есть такая идея. Я создаю кампусную сеть, и мне надо сделать такую феничку:
в настройках dhcpd сервера есть такая строка:
subnet 10.10.0.0 netmask 255.255.255.0 {
}
То-есть он никому просто так не выдаёт ip адрес.
И много других строк типо:
host ai-home-0001 {
hardware ethernet 00:02:44:11:04:bc;
fixed-address 10.10.0.100;
}
То-есть он выдаёт ip адреса только известным пользователям.
Так вот, сама суть моей проблемы:
Мне надо сделать так, чтобы когда пользователь получил ip адрес от dhcpd сервера, добавлялось правило в iptables для доступа ко всем ресурсам. В iptables по дефолту в цепочке input и forward стоит drop.
Нужно это потому, что в подъездах стоят свичи, и если кто-то нахаляву подключился к нему, не имел бы доступа к серверу. И к остальным пользователям которые сидят на других свичах, за серваком.
Можно ли такого добиться???

Содержание

Сообщения в этом обсуждении
"Настройка DHCPD. Безопасность сети. iptables."
Отправлено PavelR , 16-Сен-06 13:45 
> То-есть он выдаёт ip адреса только известным пользователям.
> Так вот, сама суть моей проблемы:
> Мне надо сделать так, чтобы когда пользователь получил ip адрес от
>dhcpd сервера, добавлялось правило в iptables для доступа ко всем ресурсам.
>В iptables по дефолту в цепочке input и forward стоит drop.
>
> Нужно это потому, что в подъездах стоят свичи, и если кто-то
>нахаляву подключился к нему, не имел бы доступа к серверу. И
>к остальным пользователям которые сидят на других свичах, за серваком.
> Можно ли такого добиться???

и опыт, сын ошибок трудных...

Не верной дорогой идешь. От левого подключения может помочь только соединение с авторизацией, например установление VPN через частную сеть.
Все иное - бессмысленно.

Чтобы не ломал голову - поясняю - ну узнаю я мак, ну поменяю его в настройках сетевой - сброшу настройки карточки, получу адрес от дхцп - и все, пользуйся....


"Настройка DHCPD. Безопасность сети. iptables."
Отправлено sanches , 16-Сен-06 14:04 

>и опыт, сын ошибок трудных...
>
>Не верной дорогой идешь. От левого подключения может помочь только соединение с
>авторизацией, например установление VPN через частную сеть.
>Все иное - бессмысленно.
>
>Чтобы не ломал голову - поясняю - ну узнаю я мак, ну
>поменяю его в настройках сетевой - сброшу настройки карточки, получу адрес
>от дхцп - и все, пользуйся....

Ну это тоже верно. Просто у нас в городе рульных людей, которые в таких делах соображают, мало. А без VPN как ни будь возможно проследить левое подключение к сети???
Вот например сетка к которой я дома подключен, название ей InterHomePlus, постоянно рассылает ARP пакеты. Запустил у себя сниффер, так аж но глаз не выпал. Больше 10000 пакетов за минуту от их серваков. Так из-за этого сетка такая тормозная. И вот я думаю зачем они это делают??? Для того что бы видеть есть ли левые в сети или нет???
Я только одно знаю, админ там точно лапух. И юхает netup utm5. Прога не плохая, но есть и замены ей, бесплатные. И пол сетки там под виндой.
Может чё посоветуете мне по поводу левых подключений???
Только не предлагайте в подъездах сейфы ставить. :)


"Настройка DHCPD. Безопасность сети. iptables."
Отправлено PavelR , 16-Сен-06 15:09 
поставь управляемые свичи )
ну а если их поставишь - сейфы сам захочешь ставить )

так что смотри в сторону pptp pppoe etc


"Настройка DHCPD. Безопасность сети. iptables."
Отправлено sanches , 16-Сен-06 15:18 
>поставь управляемые свичи )
>ну а если их поставишь - сейфы сам захочешь ставить )
>
>так что смотри в сторону pptp pppoe etc

Дорого управляемые свичи везде ставить. :( 100 баков за одну штуку минимум, на 16 портов. А воровать свичи у нас наврятле станут, город маленький, о таком пока не слышал, ни от одного прова. Город с кол-вом жителей ~150000.
pptp у меня используется для раздачи инета.
А если не учитывать то, что MAC адрес и имя машины с этим MAC адресом можно стырить, возможно ли при выдачи ip адреса dhcp сервером добавления правил в iptables???


"Настройка DHCPD. Безопасность сети. iptables."
Отправлено StSphinx , 17-Сен-06 00:17 
>>поставь управляемые свичи )
>>ну а если их поставишь - сейфы сам захочешь ставить )
>>
>>так что смотри в сторону pptp pppoe etc
>
>Дорого управляемые свичи везде ставить. :( 100 баков за одну штуку минимум,
>на 16 портов. А воровать свичи у нас наврятле станут, город
>маленький, о таком пока не слышал, ни от одного прова. Город
>с кол-вом жителей ~150000.
>pptp у меня используется для раздачи инета.
>А если не учитывать то, что MAC адрес и имя машины с
>этим MAC адресом можно стырить, возможно ли при выдачи ip адреса
>dhcp сервером добавления правил в iptables???

Если не хотите использовать протоколы тунелирования, то путь только к управляемым свичам,
реализующим port security, 802.1x и изоляцию портов.
А то, что пользователи типа несведущие - это неправильное допущение, так как пользователь ишущий халявы существо страшное и жутко хитрое. И допущение о том, что воровать не будут тоже не верное, будут, обязательно будут, поскольку у нас воруют все, даже если незнают, что с этим делать. Припоминаю время когда на одном местном заводе был монтаж и лежали бухты с оптикой, так на них специально делали наклейки: "Кабель оптический и в быту не пригоден!". И народ все равно воровал, видимо из принципа :)
Вообще вам на hub.ru там сидит довольно опытный народ из разряда строителей домовых сетей.