У меня сервер-шлюз с dhcp и ipfw. Есть разрешенный список ip адресов, которые несмотря на deny unknown-clients в dhcpd.conf все равно проходят в интернет, и только запрещающие правила в ipfw им противостоят. Как выглядит команда ipfw add deny, если список ip адресов брать из файла?
>У меня сервер-шлюз с dhcp и ipfw. Есть разрешенный список ip адресов,
>которые несмотря на deny unknown-clients в dhcpd.conf все равно проходят в
>интернет, и только запрещающие правила в ipfw им противостоят. Как выглядит
>команда ipfw add deny, если список ip адресов брать из файла?Машина утомится, если все инетовские адреса блочить..
Переписать правила чтобы тем кому надо allow, в конце deny log ip from any to any
Все верно, но каков синтаксис? как сделать allow из файла со списком
>Все верно, но каков синтаксис? как сделать allow из файла со списком
>ipfw -q file
file :
table 1 add IP
>У меня сервер-шлюз с dhcp и ipfw. Есть разрешенный список ip адресов,
>которые несмотря на deny unknown-clients в dhcpd.conf все равно проходят в
>интернет, и только запрещающие правила в ipfw им противостоят. Как выглядит
>команда ipfw add deny, если список ip адресов брать из файла?
>Лучше занулить МАС-адреса неиспользуемых IP или IP злоумышленников.
>Лучше занулить МАС-адреса неиспользуемых IP или IP злоумышленников.Это тоже можно сделать средствами ipfw? или на dhcp? Как безопаснее?
>
>>Лучше занулить МАС-адреса неиспользуемых IP или IP злоумышленников.
>
>Это тоже можно сделать средствами ipfw? или на dhcp? Как безопаснее?arp -f файл
В файле ip и неверный MAC
Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне списка по словам автора отрубаются и не получают доступа к шлюзу.
http://www.opennet.me/base/net/arp_fix_bsd.txt.html
Есть комментарии?
>Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне списка по
>словам автора отрубаются и не получают доступа к шлюзу.
>http://www.opennet.me/base/net/arp_fix_bsd.txt.htmlКостыль, проще повесить ipguard. НО это совсем не панацея против подмены mac.
Хотите безопасно и с авторизацией - ставьте mpd и пусть в локалке что хотят то и творят.
Вообще почитайте форумы на www.nag.ru там все это многократно обсуждено.
>Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне списка по
>словам автора отрубаются и не получают доступа к шлюзу.
>http://www.opennet.me/base/net/arp_fix_bsd.txt.html
>Есть комментарии?У меня на FreeBSD, если в файле небыло записи на IP - нормально работал комп в сети...
>Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне списка по
>словам автора отрубаются и не получают доступа к шлюзу.
>http://www.opennet.me/base/net/arp_fix_bsd.txt.html
>Есть комментарии?Ну, автор еще не привел скрипт для забивания неиспользуемых IP нулевыми маками.
>>Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне >Ну, автор еще не привел скрипт для забивания неиспользуемых IP нулевыми маками.:) Размером гиг под сто :) Реально посмотрите на ipguard, ну и firewall надо таки close делать. Кстати, все привязки mac-ip и вышибание по arp реально работают не под всеми winxx,
под *nix реально не работают.
>>>Воспользовался этой ссылкой для инициализайии статической arp-таблицы. Все мак-адреса вне >Ну, автор еще не привел скрипт для забивания неиспользуемых IP нулевыми маками.
>
> :) Размером гиг под сто :)Еще раз подсчитайте.
>Реально посмотрите на ipguard, ну
>и firewall надо таки close делать. Кстати, все привязки mac-ip и
>вышибание по arp реально работают не под всеми winxx,
>под *nix реально не работают.Так как внутри сетка /24 записей не должно быть очень много.
Да и для сетей /16 и /19 не вызовет проблем.