Привет всем.
Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер, которому нужно заблокировать доступ к серверу, но у него динамический ip. Сервер и юзер находятся в разных подсетях и даже у разных провайдеров.
Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на некоторое время...
заранее благодарен за советы уважаемые гуру.
> Привет всем.
> Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер,
> которому нужно заблокировать доступ к серверу, но у него динамический ip.
> Сервер и юзер находятся в разных подсетях и даже у разных
> провайдеров.
> Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на
> некоторое время...
> заранее благодарен за советы уважаемые гуру.всегда остаются административные меры для "плохих" пользователей ;)
На уровне iptables никак.
> На уровне iptables никак.Можно спамить в абуз провайдера пользователя.
>> На уровне iptables никак.Можно спамить в абуз провайдера пользователя.
Если повезет - об этом узнают родители пользователя и применят карательные меры.
Если не повезет - думайте по какому из правонарушений подавать в суд...Даже если вы забаните всю сетку провайдера - всегда останутся прокси или другие анонимайзеры.
> На уровне iptables никак.если не этим то каким другим инструментом это сделать подсилу?
административными мерами это не вход. вернее выход но не для этой темы...
Только на уровне авторизации для сервисов на этом сервере, если таковой есть.
Иначе не вижу никакого выхода.
>> На уровне iptables никак.
> если не этим то каким другим инструментом это сделать подсилу?
> административными мерами это не вход. вернее выход но не для этой темы...вот как вы узнаете вашего друга так и баньте ;)
> Привет всем.
> Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер,
> которому нужно заблокировать доступ к серверу, но у него динамический ip.
> Сервер и юзер находятся в разных подсетях и даже у разных
> провайдеров.
> Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на
> некоторое время...
> заранее благодарен за советы уважаемые гуру.Ну, если вычислить его МАС, то можно по маку дропать, но это только в том случаи если он с реальным IP выходит
> Ну, если вычислить его МАС, то можно по маку дропать, но это
> только в том случаи если он с реальным IP выходитдавно так не смеялся :))))
вы суть поста читали?
и как Вы по маку будете его дропать мне интересно :)
ппц
>> Ну, если вычислить его МАС, то можно по маку дропать, но это
>> только в том случаи если он с реальным IP выходит
> давно так не смеялся :))))
> вы суть поста читали?
> и как Вы по маку будете его дропать мне интересно :)
> ппцЯ рад что насмешил вас, смех это хорошо, он говорят жизнь продлевает, хотя не всегда является хорошим тоном.
Как я предлагаю дропать по маку - стандартными методами -m mac --mac-source MAC -j DROP
> Я рад что насмешил вас, смех это хорошо, он говорят жизнь продлевает,
> хотя не всегда является хорошим тоном.
> Как я предлагаю дропать по маку - стандартными методами -m mac --mac-source
> MAC -j DROPТяжело в деревне без нагана, да?
Вы сами то думаете что пишите?
Или Вы считаете, что пакет идет напрямую от его(клиента) IP к IP сервера?
В теме явно указано, что клиент не то что ни с одной подсети, а даж с другого прова.
Ну тогда Вам еСЧо много букв прочесть надо.:)))
Семь раз подумай, один раз напиши.
>[оверквотинг удален]
>> MAC -j DROP
> Тяжело в деревне без нагана, да?
> Вы сами то думаете что пишите?
> Или Вы считаете, что пакет идет напрямую от его(клиента) IP к IP
> сервера?
> В теме явно указано, что клиент не то что ни с одной
> подсети, а даж с другого прова.
> Ну тогда Вам еСЧо много букв прочесть надо.
> :)))
> Семь раз подумай, один раз напиши.Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема... мда, да же как-то осадок остался, надо меньше праздников делать подряд :(
Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому не надо и никто этого не ценит.
> Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема...
> мда, да же как-то осадок остался, надо меньше праздников делать подряд
> :(
> Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому
> не надо и никто этого не ценит.Право же, я и не думал чем-то кичиться, и вел беседу в исключительно уважительной форме.
Просто действительно смешно стало, особенно когда Вы повторно ответили, опять не подумав %)
>[оверквотинг удален]
>> В теме явно указано, что клиент не то что ни с одной
>> подсети, а даж с другого прова.
>> Ну тогда Вам еСЧо много букв прочесть надо.
>> :)))
>> Семь раз подумай, один раз напиши.
> Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема...
> мда, да же как-то осадок остался, надо меньше праздников делать подряд
> :(
> Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому
> не надо и никто этого не ценит.Эхх, что могу еще сказать, кроме как ступил, все ж таки второй день после рождества, или уже третий. С рождеством вас.
подсказали решение, только оно основано на соединении через мост и утилитой ebtables.
возникает вопрос, реально ли в мосте поймать реальный MAC пользователя или все фуфло...
> подсказали решение, только оно основано на соединении через мост и утилитой ebtables.
> возникает вопрос, реально ли в мосте поймать реальный MAC пользователя или все
> фуфло...Вот пусть кто тебе подсказал это решение, его и применит :)
вы все таки задачу почетче (себе самому и другим) обрисуйте - у вас увели аккаунт с доступом на публичный сервис и вы хотите не закрывая доступ банить по IP ?! или вообще зачем все эти телодвижения ?
хотите от атаки на сервис так защититься ??
> вы все таки задачу почетче (себе самому и другим) обрисуйте - у
> вас увели аккаунт с доступом на публичный сервис и вы хотите
> не закрывая доступ банить по IP ?! или вообще зачем все
> эти телодвижения ?
> хотите от атаки на сервис так защититься ??аккаунт не уводили, про него вообще ничего не написано. Публичный - это обще доступный, к примеру сайт какой нибуть. авторизации для его просмотра нет. есть также сервис который висит на udp порту. тоже без авторизации. нужно чтобы юзер с динамическим ip не смог достучаться до портов сервера. не атаки, только чтобы узер перестал получать/отправлять информацию.
2shadow_alone мне просто подсказали что в ebtables есть возможность ограничения доступа по мак адресам в мостовом соединении двух карт. вот я и хочу узнать реально ли это будет работать или нет, кто мне подсказал незнает, он изложил информацию прочитанную с сайта программы. неумесные высказывания оставьте пожалуйста при себе...
> 2shadow_alone мне просто подсказали что в ebtables есть возможность ограничения доступа
> по мак адресам в мостовом соединении двух карт. вот я и
> хочу узнать реально ли это будет работать или нет, кто мне
> подсказал незнает, он изложил информацию прочитанную с сайта программы. неумесные высказывания
> оставьте пожалуйста при себе...Выше этот вопрос уже обсуждался - вы что, сами свою тему не читаете?
Невозможно таким образом блокировать по маку (зарубите себе на носу, блокировка по маку до первого хопа), ни через iptables, ни через ebtables, ни через черта рогатого, ни через блат самого президента.Если бы Вы понимали как работает сеть, ваш вопрос отпал бы сам по себе.
Вам однозначно ответили в самом начале - НЕВОЗМОЖНО.
>в мостовом соединении двух карт
А при чем тут это ВООБЩЕ?
>[оверквотинг удален]
> Выше этот вопрос уже обсуждался - вы что, сами свою тему не
> читаете?
> Невозможно таким образом блокировать по маку (зарубите себе на носу, блокировка по
> маку до первого хопа), ни через iptables, ни через ebtables, ни
> через черта рогатого, ни через блат самого президента.
> Если бы Вы понимали как работает сеть, ваш вопрос отпал бы сам
> по себе.
> Вам однозначно ответили в самом начале - НЕВОЗМОЖНО.
>>в мостовом соединении двух карт
> А при чем тут это ВООБЩЕ?невозможно потому, что при маршрутизации mac-поменяется...даже если будет один маршрутизатор на пути к вашем серваку. Написал это потому, чтобы наконец-то поняли, чтобы вы поняли наконец