Хочу вести строгий контроль IP-адресов подключенных компьтеров к сети. То есть чтобы не зарегистрированные IP-адреса ВОВСЕ не могли лазить по сетке и тому подобное. Как это сделать при помощи firewall? По умолчанию при загрузке системы firewall находится в режиме «никому ни чего низя». Имеется стандартный /etc/rc.firewall. Правила для своей сетки пишу в /etc/firewall.conf (в /etc/rc.conf пишу firewall_enable="YES" firewall_type="/etc/firewall.conf" firewall_script="/etc/rc.firewall" firewall_quiet="NO")
Есть 3 внутренних интерфейса rl0, rl1, rl2. Есть одна из машин (IP 192.168.11.111), которая сидит на rl0. Не совсем еще понятна ситуация, когда указано правило
Ipfw add 10 allow all from 192.168.11.111 to {my server} via rl0
Тут даже пинг не проходит! Но стоит заменить это правило на
Ipfw add 10 allow all from any to {my server} via rl0, как всё начинает работать! В том плане что и пинг проходит и сквид пашет…
P.S.
$ ipfw list
00010 allow ip from any to any via rl0
65535 deny ip from any to any
В чем дело –не понимаю :-( Помогите пожалуйста!
почитай http://www.opennet.me/base/net/ipfw_guide.txt.html
den
>Хочу вести строгий контроль IP-адресов подключенных компьтеров к сети. То есть чтобы
>не зарегистрированные IP-адреса ВОВСЕ не могли лазить по сетке и тому
>подобное. Как это сделать при помощи firewall?
Вот скажем есть такой ip 192.168.0.26 воть ему можэно в сеть....
И есть такой 192.168.0.45 а воть ему низя... допустим ты поставил такое правило.. deny ip from any to 192.168.0.45
deny ip from 192.168.0.45 to any
А ентот чувак.которого ты прикрыл.. нашел умную книжку и посмотрел как в виндовозе меняется айпи .... все.. правило не работает.... тоесть работает но мимо.. :-)))
Так что бери мануалы по IPFW и читай... Как закрыть айпи я тебе показал.. только толку мало.. Если хочешь строгий контроль нужно айпи привязывать к макам.. на уровне арп таблицы....
>Есть одна из машин (IP
>192.168.11.111), которая сидит на rl0. Не совсем еще понятна ситуация, когда
>указано правило
>Ipfw add 10 allow all from 192.168.11.111 to {my server} via rl0
>
>Тут даже пинг не проходит! Но стоит заменить это правило на
>Ipfw add 10 allow all from any to {my server} via rl0,
>как всё начинает работать! В том плане что и пинг проходит
>и сквид пашет…
>P.S.
>$ ipfw list
>00010 allow ip from any to any via rl0
>65535 deny ip from any to any
>В чем дело –не понимаю :-( Помогите пожалуйста!
В этом случае ...
Посмотри маршрутизацию....
>>Если хочешь строгий контроль нужно айпи
>привязывать к макам.. на уровне арп таблицы....Спасибо за полузную информацию! Только вот теперь такой вопрос:
Чтобы не вбивать правила для 1000 компьютеров в командной строке, можно ли правила для ARP писать конкретно в файл? И как сделать такой файл исполняемым при перезагрузке сервака? Может что надо в rc.conf прописать? Вообще, как это сделать, подскажите пожалуста! :-)
Вот что я делаю
# Очищаю ARP
/usr/sbin/arp -d -a
# Разрешаю работу только с хостов c списанными MAC адресами.
/usr/sbin/arp -s 192.168.11.111 00:92:37:91:12:a3 pub
# Запрещаю присвоение свободных IP.
/usr/sbin/arp -s 192.168.11.166 0:0:0:0:0:0 pub
и так далее!
и всё это пока что сделано в ком строке :-(
>>>Если хочешь строгий контроль нужно айпи
>>привязывать к макам.. на уровне арп таблицы....
>
>>правила для ARP писать конкретно в файл? И как сделать такой
>файл исполняемым при перезагрузке сервака? Может что надо в rc.conf прописать?
>Вообще, как это сделать, подскажите пожалуста! :-)
>Вот что я делаю
># Очищаю ARP
>/usr/sbin/arp -d -a
># Разрешаю работу только с хостов c списанными MAC адресами.
>/usr/sbin/arp -s 192.168.11.111 00:92:37:91:12:a3 pub
># Запрещаю присвоение свободных IP.
>/usr/sbin/arp -s 192.168.11.166 0:0:0:0:0:0 pub
>и так далее!
>и всё это пока что сделано в ком строке :-(
Да незачто... в фаил прописать это можно.. Если у тебя IPFW настроен.. тогда находишь фаил rc.firwall и прописываешь все правла там.. где у тебя прописанны остальные правила фаирвола... он автоматом подгружается при загрузке системы...Какие вопросы можешь писать на мыло Zorro2001@male.ru
или стучись в ICQ 107732316C уважением Zorro ...
>Да незачто... в фаил прописать это можно.. Если у тебя IPFW настроен..
>тогда находишь фаил rc.firwall и прописываешь все правла там.. где у
>тебя прописанны остальные правила фаирвола... он автоматом подгружается >при загрузке системы...А вот что я сделала – создала в автозагрузке (/usr/local/etc/rc.d) файлик arp.sh, собственно в котором и прописала все правила для ARP. Проблема решена только для сегмента, которого обслуживает мой сервер! :-( То есть, как я понимаю арп работает только до ближайшего маршрутизатора? У меня 192.168.11 подсеть. Однако существует в подсетке еще несколько серверов, например 192.168.11.60, у которого своя подсеть 192.168.23.
Если со своего сервака пишу команду
arp -s 192.168.23.14 00:23:24:fa: и так далее
то в ответ
cannot intuit interface index and type for 192.168.23.14
мож я проста не так что то делаю? :-(
И вот как всё таки проконтролировать и те компы, которые подключены в НЕ МОЁМ сегменте? :-( То есть если кто то в другом сегменте подключается к сети, как мне об этом узнать?>Какие вопросы можешь писать на мыло Zorro2001@male.ru
>или стучись в ICQ 107732316
>
>C уважением Zorro ...Спасибо, при возможности воспользуюсь! :-)
>И вот как всё таки проконтролировать и те компы, которые подключены в
>НЕ МОЁМ сегменте? :-( То есть если кто то в другом
>сегменте подключается к сети, как мне об этом узнать?Никак.. arp видит только одну сеть.. с одним диапазоном ip адресов...
Чтобы контролировать всю сеть с разными диапазонами нужно ставить умный свитч или циску... Подключить кней все подсети и только тогда ты сможешь контролировать всю сеть со всеми входящими в неё диапазонами ip. А так сетевой интерфейс (сетевая карта) видит только свой диапазон.C уважением Zorro ...
>Никак.. arp видит только одну сеть.. с одним диапазоном ip адресов...
>Чтобы контролировать всю сеть с разными диапазонами нужно ставить умный свитч или
>циску... Подключить кней все подсети и только тогда ты сможешь контролировать
>всю сеть со всеми входящими в неё диапазонами ip. А так
>сетевой интерфейс (сетевая карта) видит только свой диапазон.Эх... жаль :(
А нет ли программных средств, которые можно было бы поставить на серваках, обслуживающих подсетки, и чтоб эти проги как бы насквозь передавали бы МАС-адреса и IP-адреса главному серверу для их контроля?
(все серверы, обслуживающие подсетки на Виндах)
>
>Эх... жаль :(
>
>А нет ли программных средств, которые можно было бы поставить на серваках,
>обслуживающих подсетки, и чтоб эти проги как бы насквозь передавали бы
>МАС-адреса и IP-адреса главному серверу для их контроля?
>(все серверы, обслуживающие подсетки на Виндах)
Нет нету.... так как сетевуха не видит другой диапазон.. изначально.....
как бы эо небыло прискорбно.. :-(((С уважением Zorro ..
Копайте в направлении 802.1X
Это аппаратное решение и недешевое.Кроме того,надо в сети иметь
radius server with EAP/TLS.И ,поддержка клиентской части-XP, не
знаю про другие...
Программно можно только отключить arp на шлюзе, но это не спасает
от подмены мак адреса.Можно попробовать secure port (stop learning)
на интеллектуальном свитче.Тоже недешево...
Фаерволом ничего не сделаешь на уровне L2.
И из непрямоприсоединеных сетей тоже
нельзя будет нормально рулить.На www.nag.ru иногда проскакивают сообщения об самоделках из +домашних сетей+ ,кои устройства могут это подешевле делать чем cisco catalist 2950-24 например, но все равно уровень цен
~120USD за 8 портов...
хм... тогда другой вопрос: как можно (и можно ли вообще) на сервере под управлением WinNT (или Win2000Server) задать строгое соответствие IP- и MAC-адреса для каждой рабочей станции? Другими словами: можно ли на Виндах реализовать то же, что и на FreeBSD?
т.е. вот что я делаю во FreeBSD:
# Очищаю ARP
/usr/sbin/arp -d -a
# Разрешаю работу только с хостов c списанными MAC адресами.
/usr/sbin/arp -s 192.168.11.111 00:92:37:91:12:a3 pub
# Запрещаю присвоение свободных IP.
/usr/sbin/arp -s 192.168.11.166 0:0:0:0:0:0 pub
и так далее!
>А нет ли программных средств, которые можно было бы поставить на серваках,
>обслуживающих подсетки, и чтоб эти проги как бы насквозь передавали бы
>МАС-адреса и IP-адреса главному серверу для их контроля?
>(все серверы, обслуживающие подсетки на Виндах)если очень извратиться, то можно понаделать микроподсеток с маской 255.255.255.254 на каждый подключенный комп и маршрутизировать их между собой, но для этого надо иметь соответственное количество интрефейсов на центральном компе и будет очень большая нагрузка на него...
У меня есть скрипт писаный моим туководителем но он на подключение к вингэёту и с оракловой базой и вобще наворотов масса. Сколько он времени на написание потратил незнаю. ,-)
Кстати arp таблицу тоже можно грузить из файла arp -f <Фаил> (например /etc/ethers)
формат там
IP1 MAC1
IP2 MAC2
Но все это не спасает от умных юзеров которые подменяют и IP И MAC,
В радио сетях например (если руки кревы) у многих ISP с этим большие проблемы.
>Кстати arp таблицу тоже можно грузить из файла arp -f <Фаил> (например /etc/ethers)
>формат там
>IP1 MAC1
>IP2 MAC2
>Но все это не спасает от умных юзеров которые подменяют и IP
>И MAC,
.... Беригите продвинутых юзеров.. - это наш хлеб... :-))))
Да виндовоз настроить на IP-MAC ... это сильно.. это что то из области фантастики.. :-)))....
Поставь умный свич.. привяжи каждого к порту.. и все.. и хрен кто что сделает..
Не ну конечно если физический доступ к свичу есть.. тогда можно просто переткнуть порт :-))) .. свич нужно прятать в сейф под сигнализацией..... :-)))) ...
Ладно шутки шутками.. .. Я повторяюсь.. на уровне софта ты ничего не сделаешь.. только на уровне железа.. а это либо программируемый свич либо циска... только так...С уважением Zorro...
>>Но все это не спасает от умных юзеров которые подменяют и IP
>>И MAC
Слава богу наши юзеры не научились (пока) мудрить с маками :)>Поставь умный свич.. привяжи каждого к порту.. и все.. и хрен кто
>что сделает..
свичи к сожалению у нас не все умные :( а где то их вовсе нет.>на уровне софта ты ничего не
>сделаешь.. только на уровне железа.. а это либо программируемый свич >либо циска... только так...Почитала умную книжку по виндам и нашла привязку МАС к IP - посредством DHCP. Может все таки возможно как нибудь приучить наших юзеров хоть как то регистрировать себя (раб.станцию то есть) у сисадмина? Начальство требует количество компов, сидящих в сетке! На предприятии более 1000 машин и бегать к каждому из них и тем самым узнавать кто в сети а кто нет - не есть GOOD! %(
>Начальство
>требует количество компов, сидящих в сетке! На предприятии более 1000 машин
>и бегать к каждому из них и тем самым узнавать кто
>в сети а кто нет - не есть GOOD! %(Для таких случаев есть хорошие сканеры...для виндовоза могу высдать...
сканирует по диапазону айпи ... мне очень нравиться удобен .. показывает расшаренные ресурсы, имя машины, mac адрес, рабочую группу.. весит порядка 400 килобайт...
А во FreeBSD хорошая команда netstat ...
:-)))
А DHCP это геморой и дырка лишняя... и никакой необходимости нету...
А привязка айпи к макам в виндах .. есть совтинки не большие..С уважением Zorro....
>Для таких случаев есть хорошие сканеры...для виндовоза могу высдать...
>сканирует по диапазону айпи ... мне очень нравиться удобен .. показывает расшаренные
>ресурсы, имя машины, mac адрес, рабочую группу.. весит порядка 400 килобайт...Буду очень признательна :-)
sandra@zenit.istra.ru
>А во FreeBSD хорошая команда netstat ...
>А DHCP это геморой и дырка лишняя... и никакой необходимости нету...
>А привязка айпи к макам в виндах .. есть совтинки не большие..а где можно скачать та?
>>Для таких случаев есть хорошие сканеры...для виндовоза могу высдать...
>>сканирует по диапазону айпи ... мне очень нравиться удобен .. показывает расшаренные
>>ресурсы, имя машины, mac адрес, рабочую группу.. весит порядка 400 килобайт...
>
>Буду очень признательна :-)
>sandra@zenit.istra.ru
>>А во FreeBSD хорошая команда netstat ...
>>А DHCP это геморой и дырка лишняя... и никакой необходимости нету...
>>А привязка айпи к макам в виндах .. есть совтинки не большие..
>
>а где можно скачать та?
Сканер выслал.. Пользуйтесь и наслаждайтесь... ;-)
А вот по совтинам привязывающим ip k mac в виндах я только слышал и читал , что такие существуют... нужно в инете шарить ...С уважением Zorro ....
DHCP - это далеко не геморой ! и это именно то что нужно в данной ситуации.
если ставить последнюю версию от ISC То дырок там вроде пока не нашли, а удобство есть. в том числе и с привязкой к DNS. Хорошо смотреть под FreeBSD миграцию MACов через arpwatch. при изменении он сам шлет на мыло root'a сообщения.
>>Кстати arp таблицу тоже можно грузить из файла arp -f <Фаил> (например /etc/ethers)
>>формат там
>>IP1 MAC1
>>IP2 MAC2
>>Но все это не спасает от умных юзеров которые подменяют и IP
>>И MAC,
> .... Беригите продвинутых юзеров.. - это наш хлеб... :-))))
>Да виндовоз настроить на IP-MAC ... это сильно.. это что то из
>области фантастики.. :-)))....
>Поставь умный свич.. привяжи каждого к порту.. и все.. и хрен кто
>что сделает..
>Не ну конечно если физический доступ к свичу есть.. тогда можно просто
>переткнуть порт :-))) .. свич нужно прятать в сейф под сигнализацией.....
>:-)))) ...
>Ладно шутки шутками.. .. Я повторяюсь.. на уровне софта ты ничего не
>сделаешь.. только на уровне железа.. а это либо программируемый свич либо
>циска... только так...
>
>С уважением Zorro...Вопрос обсасывался неоднократно. Единственный гарантированный софтварный вариант в данном случае - поднятие vpn. Получается весьма дешево и довольно сердито.
Добрый день леди. Возможно Вам поможет насетапленная возможность ядра пользуясь одним интерфейсом (физическим) слушать трафик разных ВЛАНовских сегментов?
Делается это очень просто
1. перекомпиливается ядро с опциями
pseudo-device vlan <#количество VLAN's<=4096#>
где 4 - количество доменов коллизий (подсеток)
2. Сетапите АйПи на интерфейсы (В форуме пробегало)
ifconfig_vlan0="inet 126.55.4.1 netmask 0xffffffc0 vlan 2 vlandev fxp0 mtu 1500"
ifconfig_vlan0_alias0="inet 126.55.4.62 netmask 0xffffffff" # proxy
ifconfig_vlan0_alias1="inet 126.55.4.60 netmask 0xffffffff" # ns
ifconfig_vlan0_alias2="inet 126.55.4.58 netmask 0xffffffff" # pop3
ifconfig_vlan0_alias3="inet 126.55.4.55 netmask 0xffffffff" # news
ifconfig_vlan0_alias4="inet 126.55.4.56 netmask 0xffffffff" # nat
ifconfig_vlan0_alias5="inet 126.55.4.53 netmask 0xffffffff" # proxy2
ifconfig_vlan1="inet 10.0.0.1 netmask 0xffffff00 vlan 10 vlandev fxp0 mtu 1500"
ifconfig_vlan1_alias0="inet 10.0.0.7 netmask 0xffffffff" # stat
ifconfig_vlan1_alias1="inet 10.0.0.8 netmask 0xffffffff" # proxy
ifconfig_vlan1_alias2="inet 10.0.0.9 netmask 0xffffffff" # proxy2
ifconfig_vlan2="inet 10.0.1.1 netmask 0xffffff00 vlan 11 vlandev fxp0 mtu 1500"
ifconfig_vlan3="inet 126.55.0.1 netmask 0xffffffff broadcast 126.55.0.255 vlan 3 vlandev fxp0 mtu 1500 -arp"
3.Пишете скриптец который будет поднимать физические интерфейсы и запихиваете его в Вам известное место, а именно /usr/local/etc/rc.d
и Ваш сервачек виден в тех сегментах в которых Вы желаете
Надеюсь на то что это окажется полезным.
С наилучшими пожеланиями
>>>Если хочешь строгий контроль нужно айпи
>>привязывать к макам.. на уровне арп таблицы....
>
>Спасибо за полузную информацию! Только вот теперь такой вопрос:
>Чтобы не вбивать правила для 1000 компьютеров в командной строке, можно ли
>правила для ARP писать конкретно в файл? И как сделать такой
>файл исполняемым при перезагрузке сервака? Может что надо в rc.conf прописать?
>Вообще, как это сделать, подскажите пожалуста! :-)
>Вот что я делаю
># Очищаю ARP
>/usr/sbin/arp -d -a
># Разрешаю работу только с хостов c списанными MAC адресами.
>/usr/sbin/arp -s 192.168.11.111 00:92:37:91:12:a3 pub
># Запрещаю присвоение свободных IP.
>/usr/sbin/arp -s 192.168.11.166 0:0:0:0:0:0 pub
>и так далее!
>и всё это пока что сделано в ком строке :-(
Я тебя сейчас может огорчу, но потом этот чел почитает и начитается, что mac для сетевухе можно менять!!! во как, ився эта безопасность просто рушится. А определить мас соседа, вообщем не проблема.выход: привязка машины чисто к порту, что на сколько я знаю моет быть реализована на каталисте.
man arp (контроль соответствия MAC и IP)
man ipfw (файрволл, отсекающий незарегеные IP)
man dhcpd (служба автоматической раздачи IP, которую можно привязать к MAC)Можно написать прогу, которая будет при одном запросе на добавление/удаление сама прописывать всё необходимое. Но сначала читай man'ы и применяй к своей сетке :)
>man arp (контроль соответствия MAC и IP)
>man ipfw (файрволл, отсекающий незарегеные IP)
>man dhcpd (служба автоматической раздачи IP, которую можно привязать к MAC)
>
>Можно написать прогу, которая будет при одном запросе на добавление/удаление сама прописывать
>всё необходимое. Но сначала читай man'ы и применяй к своей сетке
>:)Да вдобавок можно даже в 98-ой винде запретить менять в сетевом окружении, IP.
А остальное реализовано через DHCP с привязкой к MAC.
>Сканер выслал.. Пользуйтесь и наслаждайтесь... ;-)
>А вот по совтинам привязывающим ip k mac в виндах я только слышал и >читал , что >такие существуют... >нужно в инете шарить ...
>С уважением Zorro ....
Огромное спасибо, полезная штука! :)>>Вопрос обсасывался неоднократно. Единственный гарантированный >>софтварный вариант
>>в данном случае
>> поднятие vpn. Получается весьма дешево и довольно сердито.
А можно полезную ссылочку на vpn? то есть как правильно поднять это? :)>>man arp (контроль соответствия MAC и IP)
>>man ipfw (файрволл, отсекающий незарегеные IP)
>>man dhcpd (служба автоматической раздачи IP, которую можно привязать к >>MAC):-) ну вот (повторюсь) я главный сервер, у ня в сети еще несколько серверов, а у нескольких из тех серверов еще сервера! допустим на ВСЕХ этих сервера удалось привязать каким та образом ИП и МАК адреса! А как сделать так что бы ребятки, ктр подключают новое оборудование к сети, приходили и каким то образом ВСЁ ТАКИ регистрировали его.
>Да вдобавок можно даже в 98-ой винде запретить менять в сетевом >окружении,
>IP. с 98 не работала - подскажите пжалста как там что делать?
>А остальное реализовано через DHCP с привязкой к MAC.
В винде ДШЦП не помогает в том случае если юзеры по какой то причине не хотят регистрироваться (а иначе как еще привязать в виндах ИП к МАК? вроде ни как). Они просто отключают ДШЦП и подгоняют себе ИП. Вот в чем проблема... А сервера с виндой к сожалению не перевести на ФриБСД! тамошние админы просто не знают что это такое. А мне бегать к ним по всему предприятию не особо таки здорово :(
>DHCP - это далеко не геморой ! и это именно то что
>нужно в данной ситуации.
>если ставить последнюю версию от ISC То дырок там вроде пока не
>нашли, а удобство есть. в том числе и с привязкой к
>DNS. Хорошо смотреть под FreeBSD миграцию MACов через arpwatch. при изменении
>он сам шлет на мыло root'a сообщения.:-) а откуда лучше брать версию DHCP от ISC? А arpwatch - это встроенная в FreeBSD утилита или её нужно скачивать? Есла да, то откуда лучше скачивать?
или это тот самый банальный arp list? - инфа о всех ИП и их МАКах, "прошедших" через сервер? И каким образом вообще шлются письма при изменении в арп таблице? т. е. это где настраивать необходимо?
>>DHCP - это далеко не геморой ! и это именно то что
>>нужно в данной ситуации.
>>если ставить последнюю версию от ISC То дырок там вроде пока не
>>нашли, а удобство есть. в том числе и с привязкой к
>>DNS. Хорошо смотреть под FreeBSD миграцию MACов через arpwatch. при изменении
>>он сам шлет на мыло root'a сообщения.
>
>:-) а откуда лучше брать версию DHCP от ISC? А arpwatch
>- это встроенная в FreeBSD утилита или её нужно скачивать?
> Есла да, то откуда лучше скачивать?
>или это тот самый банальный arp list? - инфа о всех ИП
>и их МАКах, "прошедших" через сервер? И каким образом вообще шлются
>письма при изменении в арп таблице? т. е. это где настраивать
>необходимо?
dhcpd лучше скачать с www.isc.org либо установить из портов
arp встроенная утилита можешь набрать arp -a и увидишь
а вот есть ли утилита или программка путём которой узнаются изменения в arp таблице или каких либо логах, где могут встретится незарегистрированные ИП с их МАК, и тем самым, могут ли ОНИ быть переданы на указанный мной e-mail? То есть, если есть все таки такие программки, можно ли поставить их на каждом сервере (с виндос) в сети и тем самым как-то быть в курсе кто вообще есть в сетке? для Виндовоза в первую очередь, т. к. у только у меня сервер под БСД?
То есть, правильно ли это будет, если такая возможность всё таки есть?
Нарвался на тоже самое, но в домашних ethernet сетях. Сплошные злоумышленники кругом (хотят за чужой счет посидеть).Стоит апач + простенькая самописная програмулина. В файлике лежат логин и пароль.
У клиента ссылка на рабочем столе на http://авторизация.html
В ней стоит формочка с логином и паролем в левом фрейме, а правый рефрешится раз в полминуты(или час, кому как надо) со ссылкой на cgi. В cgi проверяется логин и пассворд (можно вообще через SQL сделать) и при необходимости в файл /auth/fw.allow пишется. ipfw delete n, где n правило файрвола для пользователя (держится вместе логином паролем). А в файлике /auth/fw.deny лежат куча строчек
"ipfw dele n"
"ipfw add n deny all from тачка to any"
а в нормальных правилах добавить разрешение
allow tcp from any to server(с авторизацией) 80,10000-65535
в /etc/crontab добавляем /auth/fw.sh (с частой не чаще, чем рефреш на странице)
а в /auth/fw.sh добавляем fw.deny && fw.allow
Правила проходятся за миллисекунды (юзеры не заметят)
Токо у узеров должна будет авторизация висеть (хотябы свернутая)Между прочим, я еще этой фигней при превышении траффика их не пускаю, и состояние счета вывожу (ну это уже с билингом связано)
Если немного доработать, то можно чтоб юзеры сами пароль могли менять.
Прогочки простые до нельзя, поэтому свои координаты не оставляю. Да и некогда, сорри.
>а вот есть ли утилита или программка путём которой узнаются изменения в
>arp таблице или каких либо логах, где могут встретится незарегистрированные ИП
>с их МАК, и тем самым, могут ли ОНИ быть переданы
>на указанный мной e-mail? То есть, если есть все таки такие
>программки, можно ли поставить их на каждом сервере (с виндос) в
>сети и тем самым как-то быть в курсе кто вообще есть
>в сетке? для Виндовоза в первую очередь, т. к. у только
>у меня сервер под БСД?
>То есть, правильно ли это будет, если такая возможность всё таки есть?
>
у меня есть патчик(громко сказано) для ядра (freebsd 4.x)...
в логах пишутся сообщения которые тебе надо. + не добавляются в арп таблицу
добавить можно лишь с arp -S , arp -f ,etc..
есть скриптик на перле который для тех кто в логах засветился
добавляет публичные записи вроде
arp -S x.y.z.p.q 01:01:01:01:01:01 pub
>у меня есть патчик(громко сказано) для ядра (freebsd 4.x)...
>в логах пишутся сообщения которые тебе надо. + не добавляются в арп
>таблицу
>добавить можно лишь с arp -S , arp -f ,etc..
>есть скриптик на перле который для тех кто в логах засветился
>добавляет публичные записи вроде
>arp -S x.y.z.p.q 01:01:01:01:01:01 pubСпасибо за информацию, но Ваше преложение для моей сетке не подходит :-(, т.к. АРП действует токо от маршрутизатора до маршрутизатора... А у меня несколько подсеток, в ктр имеюстся еще нескоко серверов, а под этими серверами еще сервера...
>Спасибо за информацию, но Ваше преложение для моей сетке не подходит :-(,
>т.к. АРП действует токо от маршрутизатора до маршрутизатора... А у меня
>несколько подсеток, в ктр имеюстся еще нескоко серверов, а под этими
>серверами еще сервера...Собирать MAC-таблицы средствами виндов на этих серверах, а затем пересылать и обрабатывать на центральном free-шном. Заодно можно мониторинг сети организовать (не совсем в реальном времени, но близко) в плане компов/устройств, подключенных в данный момент к сети. Вот только все равно дополнительные проги/скрипты писать придется ;)
>>у меня есть патчик(громко сказано) для ядра (freebsd 4.x)...
>>в логах пишутся сообщения которые тебе надо. + не добавляются в арп
>>таблицу
>>добавить можно лишь с arp -S , arp -f ,etc..
>>есть скриптик на перле который для тех кто в логах засветился
>>добавляет публичные записи вроде
>>arp -S x.y.z.p.q 01:01:01:01:01:01 pub
>
>Спасибо за информацию, но Ваше преложение для моей сетке не подходит :-(,
>т.к. АРП действует токо от маршрутизатора до маршрутизатора... А у меня
>несколько подсеток, в ктр имеюстся еще нескоко серверов, а под этими
>серверами еще сервера...
>>DHCP - это далеко не геморой ! и это именно то что
>>нужно в данной ситуации.
>>если ставить последнюю версию от ISC То дырок там вроде пока не
>>нашли, а удобство есть. в том числе и с привязкой к
>>DNS. Хорошо смотреть под FreeBSD миграцию MACов через arpwatch. при изменении
>>он сам шлет на мыло root'a сообщения.
>
>:-) а откуда лучше брать версию DHCP от ISC? А arpwatch
>- это встроенная в FreeBSD утилита или её нужно скачивать?
> Есла да, то откуда лучше скачивать?
>или это тот самый банальный arp list? - инфа о всех ИП
>и их МАКах, "прошедших" через сервер? И каким образом вообще шлются
>письма при изменении в арп таблице? т. е. это где настраивать
>необходимо?Надо на машине иметь sendmail и иметь почтовый сервер в сети.
Sendmail посылает всю почту туда, а ты сидишь и читаешь кто сменил айпишник, в сети появилась новая машина, и т д
>>>DHCP - это далеко не геморой ! и это именно то что
>>>нужно в данной ситуации.
>>>если ставить последнюю версию от ISC То дырок там вроде пока не
>>>нашли, а удобство есть. в том числе и с привязкой к
>>>DNS. Хорошо смотреть под FreeBSD миграцию MACов через arpwatch. при изменении
>>>он сам шлет на мыло root'a сообщения.
>>
>>:-) а откуда лучше брать версию DHCP от ISC? А arpwatch
>>- это встроенная в FreeBSD утилита или её нужно скачивать?
>> Есла да, то откуда лучше скачивать?
>>или это тот самый банальный arp list? - инфа о всех ИП
>>и их МАКах, "прошедших" через сервер? И каким образом вообще шлются
>>письма при изменении в арп таблице? т. е. это где настраивать
>>необходимо?
>
>Надо на машине иметь sendmail и иметь почтовый сервер в сети.
>Sendmail посылает всю почту туда, а ты сидишь и читаешь кто сменил
>айпишник, в сети появилась новая машина, и т дА если сеть многосегментная? Это сильно не спасет. Так как реально сервер видет только свой сегмент. Т.Е.
*nix(ARPwatсh) <--> WIN or *nix(router) <--> WIN or *nix(user)
В такой сетуации ARPwatсh не спасет! так как он видет только ARP router'а. и что в такой ситуации делать? а если роутером является винда?И вообще по моему не обязательно иметь на машине майл систему. Moжно анализировать самому файлик называется он arp.dat, и находится он /var/arpwatch/ если не там то locate arp.dat вы даст его местоположение
формат тоже не сильно крутой:
ARP IP TIME(время в сек с 1900 года) NAME(если есть)
Прелесть майл системы в том что можно сразу увидеть что кто-то что-то со своей машинов в сети делает.
>Хочу вести строгий контроль IP-адресов подключенных компьтеров к сети. То есть чтобы
>не зарегистрированные IP-адреса ВОВСЕ не могли лазить по сетке и тому
>подобное.
ответ в твоем посте :)
> при помощи firewall
у тебя не получится передавать arp таблицу через винду, а вот прибить левых зверей на виндовых машинах можно если поставить Agnitum Outpost Firewall с плугином котрый ограничивает доступ по МАС+IP (имя не помню кажисть BlockPost, см. на оутпостовском форуме) хотя можно конечно и виндовыми средствами "arp -s xxx.xxx.xxx.xIP xx-xx-xx-xx-xM-AC" сделать жесткую привязку arp но я в ее работоспособность не верю :)
Если програмировать умеешь, то все просто до безумия
1. Заранее не предоставляешь в ФВ доступ на кому....(пинги не ходят, короче машина не видна вообще ни кому.... ну за исключением порта 80, если авторизация происходит через веб, или пишешь своего демона слушающего некоторый порт для авторизации).
2. Создаешь цепочки in out в которые потом прописываешь тех кому можно, динамически... пусть прописывает та авторизующая программа
3. Где-то в цепочках input и output вставляешь правило
пример для ipcheins:
ipcheins -A input -i {ethx} -s {192.168.xxx.xxx/xx} -j in
ipcheins -A output -i {ethx} -d {192.168.xxx.xxx/xx} -j out
Вот в принципе и все и не надо ни каких маков.. Вернее надо не не в такой потребности.
Демон уже есть, и работает, но под Linux... У клиентов на С++ написан клиент который весит постоянно и контролирует подключение.
Из недостатков подобного метода:
1. Может кто-то украсть пароль(или угадать), но это уже к пользователю!
2. Не многих такой способ может устроить.
3. При компьютерах больше 80 за цепочками просто невозможно следить, и повышается замедления на прохождения пакетов.
Достоинства сами напрашиваются, но судить тебе что поробовать.
Хм.. можно просто максимально заузить маску (чтоб не было свободных IP), натянуть dhcp и всем нужным раздавать IP в привязи к MAC дресу.Так мне кажется проще и не надо кучу правил ставить %)
>Хм.. можно просто максимально заузить маску (чтоб не было свободных IP), натянуть
>dhcp и всем нужным раздавать IP в привязи к MAC дресу.
не пойдёт :( ДШЦП тоже ведь работает от сервера к серверу. Да и какая проблема юзеру взять и отказаться от использования дшцп, и ввести ИП вручную? на предприятии порядка 20 серверов, обслуживающих работу примерно 1000 машин и на каждом отслеживать всё это - не есть гуд :(
>Так мне кажется проще и не надо кучу правил ставить %)
как видите, так не проще :(((
authpf+pf? (openbsd only, recently ported to freebsd 5.x)
такую же проблему решили с помощью таблиц ARP, очень просто и эффективно, причем сеть не маленькая, около 350 компов
есть файл например /etc/arpfilter в котором указаны соответствия IP к MAC адресу
192,168,0,2 00:02:0B:00:00
потом все просто
arp -ad
arp -f /etc/arpfilter
и все, 100% что никто просто так не возьмет себе АйПи
сначала гимор в том чтобы собрать все АйПи и Маки, зато потом нет фигни в ipfw
у меня работает прекрасно
используй vpn
>такую же проблему решили с помощью таблиц ARP, очень просто и эффективно,
угу - не спорю - просто и надёжно (с одной оговоркой - если звери не знают как менять МАС)
>причем сеть не маленькая, около 350 компов
тут не важно сколько компов - важно как они расположены.
мне это не подходит - у меня сетка не одноуровневая.
>есть файл например /etc/arpfilter в котором указаны соответствия IP к MAC адресу
>
>192,168,0,2 00:02:0B:00:00
>потом все просто
>arp -ad
>arp -f /etc/arpfilter
>и все, 100% что никто просто так не возьмет себе АйПи
>сначала гимор в том чтобы собрать все АйПи и Маки, зато потом
>нет фигни в ipfw
>у меня работает прекрасно
:)
Можно и мне свре мнение высказать?
В принципе мадам хочет собирать информацию со всех серверов, но не хочет чтобы об этом знали или ноги не хочет себе бить, чтобы дойти до серверов. :) Логичное желание. В данной ситуации и при данных условиях ее проблему не решить. Я в похожей ситуации использовал следующее. В сети стоит около 100 3СОМ1100 и 3СОМ3300. Там возможна привязка мас адресов к портам. Вот и получилось, что при подмене айпишника злоумышленника ловит софт на серверах. При подмене маса - свитч никого и никуда не пускает. Новые машины тоже без меня выйти никуда не могут. Остается только одна возможность - подменить мас и айпишник с с одного и того же порта. А это еще определить надо :) Хотя есть такие умельцы. Но существует система аутентификации. Вот тут уж я отыгрываюсь, в случай чего, на юзерах. :)
Оборона должна быть эшелонированной! Одной программулиной ничего не решишь. Минимум две-три разных программы нужно использовать. Каждая делает свое дело. Кстати, на Фри и Винде можно сколотить оборону, которую я описал. И все стандартными средствами. :) Удачи!
>такую же проблему решили с помощью таблиц ARP, очень просто и эффективно,
>причем сеть не маленькая, около 350 компов
>есть файл например /etc/arpfilter в котором указаны соответствия IP к MAC адресу
>
>192,168,0,2 00:02:0B:00:00
>потом все просто
>arp -ad
>arp -f /etc/arpfilter
>и все, 100% что никто просто так не возьмет себе АйПи
>сначала гимор в том чтобы собрать все АйПи и Маки, зато потом
>нет фигни в ipfw
>у меня работает прекрасноЯ вот не пойму смысл этого...
Прописываю 192.168.1.200 00:0a:e6:c6:5a:91 , потом ставлю себе айпи 192.168.1.20 и перегружаюсь...
в arp таблице пулучается следующее:
? (192.168.1.20) at 00:0a:e6:c6:5a:91 on rl1 [ethernet]
admin (192.168.1.200) at 00:0a:e6:c6:5a:91 on rl1 permanent [ethernet]Ну... сменил айпи и работаю дальше...
И выше сказанное получается не работает... Что делать?
а вы сделали
arp -ad
arp -f /path/to_file
после того как дописали привязку ?
>а вы сделали
>arp -ad
>arp -f /path/to_file
>после того как дописали привязку ?
Да и всеравно также получается...
Так как при помощи arp для одноранговой сети это решить?
FreeBSD 4.9
>а вы сделали
>arp -ad
>arp -f /path/to_file
>после того как дописали привязку ?
Да сделал... но без результатно...тоже самое, какже тогда решить эту проблему, хотябы в одноранговой сети? при помощи arp.
FreeBSD 4.9
вы делаете это на gateway'e, я имею ввиду тот сервак с которого вы видите arp-таблицы ваших сетей ?
у меня на 4,8 и 4,7 все работает превосходно
проверьте еще раз, должно работать
>вы делаете это на gateway'e, я имею ввиду тот сервак с которого
>вы видите arp-таблицы ваших сетей ?
>у меня на 4,8 и 4,7 все работает превосходно
>проверьте еще раз, должно работатьКак не кручу, просто вторая запись о маке и IP появляется в таблице и все(((.
А что тут проверять? добавил в файлик соответствие, удалил все, прочитал из файла соответствия, включил тестируемую машину... доступ в инет остается... никто ни на что не ругается а в таблице появляется 2 записи:
? (192.168.1.20) at 00:0a:e6:c6:5a:91 on rl1 [ethernet]
admin (192.168.1.200) at 00:0a:e6:c6:5a:91 on rl1 permanent published [ethernet]
Почему сервак держит 2е записи с одним маком ? вроде не должен он этого делать?
Вы уверенны что у Вас так работает )))
Ведь не даром леди которая начала эту тему прописывает в таблице и для не зарегестрированных IP адресов MAC адреса?
По ее примеру уже не сменишь айпи!!!
А вот по Вашему MAC адресу другой айпи в таблице прописывается и все!!!