Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе. интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один из пользователей поставил себе этот адрес. в результате линукс стал ругаться, что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>
Дык не должно такого быть! Как это - два хоста с одинаковыми ip?
>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>
>
>
>Дык не должно такого быть! Как это - два хоста с одинаковыми
>ip?Ну и что делать в таких случаях? Каждый раз искать умника и давать ему по башке?
>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>
>>
>>
>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>ip?
>
>Ну и что делать в таких случаях? Каждый раз искать умника и
>давать ему по башке?
Ну да. Если ты держишь сервер - значит ты админ. Ты и должен контролировать раздачу ip адресов в твоей сети.Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех юзеров, но зато вряд ли кто-то назначит себе такой ip.
Третий вариант - DHCP
>>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>>
>>>
>>>
>>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>>ip?
>>
>>Ну и что делать в таких случаях? Каждый раз искать умника и
>>давать ему по башке?
>
>
>Ну да. Если ты держишь сервер - значит ты админ. Ты и
>должен контролировать раздачу ip адресов в твоей сети.
>
>Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех
>юзеров, но зато вряд ли кто-то назначит себе такой ip.
>
>Третий вариант - DHCP
1 или 254 какая разница?
DHCP и так есть... А как сделать чтобы Линукс не смотрел какие адреса используются. И как этому умнику удалось в винде адрес, который уже используется, поставить. Кривой выход из данной ситуации я уже придумал: назначу еще один адрес 192.168.1.10 на этот же интерфейс и буду давать его по dhcp как второй шлюз.
>>>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>>>
>>>>
>>>>
>>>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>>>ip?
>>>
>>>Ну и что делать в таких случаях? Каждый раз искать умника и
>>>давать ему по башке?
>>
>>
>>Ну да. Если ты держишь сервер - значит ты админ. Ты и
>>должен контролировать раздачу ip адресов в твоей сети.
>>
>>Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех
>>юзеров, но зато вряд ли кто-то назначит себе такой ip.
>>
>>Третий вариант - DHCP
>1 или 254 какая разница?
>DHCP и так есть... А как сделать чтобы Линукс не смотрел какие
>адреса используются. И как этому умнику удалось в винде адрес, который
>уже используется, поставить. Кривой выход из данной ситуации я уже придумал:
>назначу еще один адрес 192.168.1.10 на этот же интерфейс и буду
>давать его по dhcp как второй шлюз.Странно, как это у него получилось не понятно. Так получается, что DHCP криво настроен? Почему он выдает 2 одинаковых ай пи?
>Странно, как это у него получилось не понятно. Так получается, что DHCP
>криво настроен? Почему он выдает 2 одинаковых ай пи?
Парень, ты что, в танке? Какие одинаковые айпи?
>>Странно, как это у него получилось не понятно. Так получается, что DHCP
>>криво настроен? Почему он выдает 2 одинаковых ай пи?
>
>
>Парень, ты что, в танке? Какие одинаковые айпи?
Цитата. "интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один из пользователей поставил себе этот адрес. в результате линукс стал ругаться, что адрес используется и уронил интерфейс."А это что по твоему?
>>>криво настроен? Почему он выдает 2 одинаковых ай пи?
>>
>>
>>Парень, ты что, в танке? Какие одинаковые айпи?
>
>
>Цитата. "интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>что адрес используется и уронил интерфейс."
>
>А это что по твоему?Кто выдает одинаковые айпи? Где про это написано? Похоже пустой флейм пошел.
Решение какое-нибудь красивое и умное подскажите.
>Решение какое-нибудь красивое и умное подскажите.
man man
man arp
>>Решение какое-нибудь красивое и умное подскажите.запретить использовать статику для юзверов раз и навсегда!!!
а пакеты пришедшие с непотребного адреса просто убивать...
>>>Решение какое-нибудь красивое и умное подскажите.
>
>запретить использовать статику для юзверов раз и навсегда!!!это каким образом? методом методичных избиений?
>а пакеты пришедшие с непотребного адреса просто убивать...технологию не предложите? где в пакете написано что он выдан по dhcp или поставлен руками?
расскажите человеку про static arp и не надо шума про то, над чем вы невластны.
>Странно, как это у него получилось не понятно. Так получается, что DHCP
>криво настроен? Почему он выдает 2 одинаковых ай пи?
Кабель выдернул, да поставил IP себе, потом опять воткнул....Надо как то на arp уровне организовать, чтобы на все arp запросы для этого IP выдавался MAC - твой шлюз, тогда этот умник в тишине сидеть будет.
неверю что винда у линукс/фрибсд перехватывает айпишник-- чудеса да и только.
выдавай почаще в сеть широковещательный arp -- тогда все буут знать что 192.168.1.1 это ты.а умнику dos по arp адресу -- если там действительно винда -- 2 мин хватит (с этим конечно нужно быть крайне осмотрительно)
>неверю что винда у линукс/фрибсд перехватывает айпишник-- чудеса да и только.
>выдавай почаще в сеть широковещательный arp -- тогда все буут знать что
>192.168.1.1 это ты.скажи как :-) arpd? советуйте предметно. вопрос-то конкретный
>
>а умнику dos по arp адресу -- если там действительно винда --
>2 мин хватит (с этим конечно нужно быть крайне осмотрительно)это лишнее
Не знаю, ка кнасчет Линуха, я на FreeBSD заморозил все так:
Включить фильтрацию по layer2 в ipfw
sysctl -w net.link.ether.ipfw=1Запретить все для подсети
ipfw add 62999 deny ip from 192.168.20.0/24 to any layer2 in via em1Разрешить для определенного IP с указанного MAC
ipfw add 62073 allow ip from 192.168.20.73 to 192.168.0.0/16 MAC any 00:17:9a:6d:0e:94 via em1ЗюЫipfw add 62073 allow ip from 192.168.20.73 to "table(1)" MAC any 00:17:9a:6d:0e:94 via em1
P.S. При net.link.ether.ipfw=1 пакет по правилам пробегает 2 раза, поэтому, если учет трафика решается средствами IPFW, используйте skipto:
ipfw add 1 skipto 61000 ip from any to any layer2
хм...
прикольно, фильтрация по mac адресу, вот интересно как в данном случае она поможет доброборядочному пользователю выйти в интернет, на свичах кэш чаще всего "видит" совершенно неправильную привязку ip/mac у соответственно пакетик он отправит не по адресу. Сидит какой нибудь дятел, поставил себе айпишник маршрута по умолчанию, а все его соседи тчетно пытаются выйти в инет.
>на свичах кэш чаще всего
>"видит" совершенно неправильную привязку ip/mac
С чего это вдруг неправильную?Да... я согласен, что данный пример больше подходит для случая, когда необходимо запретить пользователю использовать адрес "соседа". +В данном случае рекомендую (т.к. коммутатор 2-го уровня) привязать mac к порту.
Если какой-то умник назначит себе адрес шлюза, то настроенный указанным образом файрвол не будет его видеть (т.к. маки не совпадают) и система не должна будет ругаться, что кто-то использует адрес шлюза... В теории... ;)
А вот что будет твориться у абонентов...
>Не знаю, ка кнасчет Линуха, я на FreeBSD заморозил все так:
>Включить фильтрацию по layer2 в ipfw
>sysctl -w net.link.ether.ipfw=1
>
>Запретить все для подсети
>ipfw add 62999 deny ip from 192.168.20.0/24 to any layer2 in via
>em1
>
>Разрешить для определенного IP с указанного MAC
>ipfw add 62073 allow ip from 192.168.20.73 to 192.168.0.0/16 MAC any 00:17:9a:6d:0e:94
>via em1
>
>ЗюЫipfw add 62073 allow ip from 192.168.20.73 to "table(1)" MAC any 00:17:9a:6d:0e:94
>via em1
>
>P.S. При net.link.ether.ipfw=1 пакет по правилам пробегает 2 раза, поэтому, если учет
>трафика решается средствами IPFW, используйте skipto:
>ipfw add 1 skipto 61000 ip from any to any layer2
em1 - это внутренний?
>em1 - это внутренний?# ifconfig em1
em1: flags=18843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,POLLING> mtu 1500
options=5b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING>
inet 192.168.20.2 netmask 0xffffff00 broadcast 192.168.20.255
Соотв-но смотрит внутрь
>не поддерживает. как заставить линукс не смотреть используется адрес или нет?Значит я тебе скажу что нужно сделать, а опытные в линуксах товарисчи подскажут как.
Итак, на сервере: arp статический, т.е. при старте ручками пары IP/MAC вгоняются "в кэш" и сидят там до победного конца. dhcp надеюсь УЖЕ выдаёт ip по MAC-у?
на клиентах - arp static. как организовать автоматически - х.е.з. может батник при старте с сервера запускать.
при такой схеме проблема "не тот ip" проблема сугубо данного раззвездяя (злоумышленника?)
по dhcp arp-у вроде как ничего передать нельзя :(зы а воообще конечно красота железки умные втыкать. тока деньги...