Задача! Нужно в прокси сервере настроить авторизацию по МАС адресу. Вопрос!!! Как можно блокировать МАС адрес компьютера который находится в другой подсети в Linux? В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети. A в Linux Squid, iptables не могут блокировать по МАС адресу, если компьютер находится в другой подсети, они блокируют компьютеры с другой подсети только по IP.Пример:
1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client CПрокси сервер блокирует клинта В по МАС адресу без проблем, потому что клиент В находится в одной подсети с прокси сервером.
Прокси сервер не может блокирует клинта С по МАС адресу, потому что клиент С находится в другой подсети с прокси сервером.
Самое странное в Windows CCPROXY фильтрирует клиента по МАС, а в Линуксе я не могу найти решение!Пожалуйста помогите !!!P.S.
В документациях Squid написано, что он не может блокировать MAC адрес другой подсети. На форумах читал, что iptables тоже не может блокировать MAC адрес другой подсети. На практике проверил, что эти программы реально не могут блокировать MAC адрес другой подсети(по крайнем мере у меня). А в Windows 2-3 программы реально блокируют MAC другой подсети. В Windows блокировка получается, значить в самой сети что-то перенастроить по поэму не нужно. Только найти решение в Linux для того, чтобы блокировать MAC адрес клиента, который находится в другом сегменте сети. Пробовал arptables, ebtables все равно не помогло. Если маршрутизатор не пропускал бы MAC клиента в другую подсеть, то тогда как все это в Windows на CCProxy работает? В Linux есть ли на это решение? A то клиенты могут менять IP и сидеть в Интернете. Пожалуйста, не предлагать привязывать в коммутаторе IP на MAC, слишком большая сеть и клиентов много(слишком трудоёмкая работа). Авторизация по паролю тоже не пойдет. Может есть какие-то утилиты для решения такой проблемы? Пожалуйста дайте варианты!
>В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети.But how?!
>>В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети.
> But how?!Да, да! Как?
>> А в Windows 2-3 программы реально блокируют MAC другой подсети.
Was ist das? Das ist was?
Das ist fantastisch!>> Если маршрутизатор не пропускал бы MAC клиента в другую подсеть, то тогда как все это в Windows на CCProxy работает?
МАС-адрес относится же ко 2 уровню, канальному (физическая адресация).
А IP-адрес относится к 3 уровню, сетевому (логическая адресация).Как быть с OSI в таком случае?
Наплевать, растоптать и выбросить?
> МАС-адрес относится же ко 2 уровню, канальному (физическая адресация).
> А IP-адрес относится к 3 уровню, сетевому (логическая адресация).Я тоже знаю это. Но реально CCProxy фильтрует по MAC.
Кстати, через эти команды можно узнать MAC компа если даже они находится в другой подсети: (Значить как-то можно узнать и как-то можно фильтровать по MAC?)
nbtstat -a 192.168.6.2 (Windows)
nmblookup -A 192.168.6.2 (Linux)
> nmblookup -A 192.168.6.2 (Linux)Ой. Технологии Майкрософт, однако.
Ну, что же.
Squid, наколенный скрипт-аутентификатор с nmblookup -A внутри.
Родина ждёт своих героев.---А Вы говорите "модель OSI"
> But how?!Вот я тоже не знаю, но это программа реально фильтрует по MAC адресу. А в Linux не как решить эту проблему? А что, у всех больших организациях только по IP или по паролю аутентификация идет? И еще не обязательно только с помощью прокси сервером решить эту задачу. Может знаете какие-то утилиты для решения мою проблему? (A то клиенты могут менять IP и сидеть в Интернете.) Главное, пожалуйста дайте какие-то варианты! Заранее спасибо.
>> But how?!
> Вот я тоже не знаю, но это программа реально фильтрует по MAC
> адресу. А в Linux не как решить эту проблему? А что,
> у всех больших организациях только по IP или по паролю аутентификация
> идет? И еще не обязательно только с помощью прокси сервером решить
> эту задачу. Может знаете какие-то утилиты для решения мою проблему? (A
> то клиенты могут менять IP и сидеть в Интернете.) Главное, пожалуйста
> дайте какие-то варианты! Заранее спасибо.http://citforum.ru/nets/semenov/4/42/nbio_423.shtml
WINS-запросы обычно транспортируются в UDP-дейтограммах. При этом используется порт отправителя=137. В поле данных размешается 2-октетное поле идентификатора, позволяющего связать запрос с откликом. Далее следует 2 байта флагов, в случае запроса туда записывается 0. За ним размещается два октета, содержащие число вопросов, 2 октета числа ответов и еще 4 нулевых октетов. Завершается кадр запроса двумя октетами поля типа (00 21 -> статус узла NetBIOS) и полем класса (для Интернет 00 01 -> (IN,1)). Такие запросы позволяют получить дополнительные данные (имя узла, его MAC-адрес, NetBIOS-имя, имя группы) об ЭВМ с заданным IP-адресом. Причем эта ЭВМ может находиться где угодно в Интернет, но непременно работать в OS Windows.
...
Протокол WINS весьма удобен для сбора данных о МАС-адресах ЭВМ в многоранговой сети, где получить эти данные с помощью ARP-запросов невозможно. Какие-то данные можно извлечь из кэша маршрутизаторов или таблиц сетевых переключателей, если они доступны с помощью SNMP-запросов. Но WINS может дать больше данных, если рабочая станция использует операционную систему Windows. Так что, когда, скажем, программа Black ICE Defender пришлет вам MAC-адрес атакера, сидящего на другом континенте, не удивляйтесь, на помощь был призван протокол WINS.
>[оверквотинг удален]
> ЭВМ с заданным IP-адресом. Причем эта ЭВМ может находиться где угодно
> в Интернет, но непременно работать в OS Windows.
> ...
> Протокол WINS весьма удобен для сбора данных о МАС-адресах ЭВМ в многоранговой
> сети, где получить эти данные с помощью ARP-запросов невозможно. Какие-то данные
> можно извлечь из кэша маршрутизаторов или таблиц сетевых переключателей, если они
> доступны с помощью SNMP-запросов. Но WINS может дать больше данных, если
> рабочая станция использует операционную систему Windows. Так что, когда, скажем, программа
> Black ICE Defender пришлет вам MAC-адрес атакера, сидящего на другом континенте,
> не удивляйтесь, на помощь был призван протокол WINS.Спасибо за ответ. А вы знаете программы в Linux которые могут получать и отфильтровывать MAC адреса через NetBIOS(WINS)? Я знаю что программа nmblookup (-A 192.168.6.2) может получать такую информацию а чтобы фильтровать...?
>[оверквотинг удален]
>> Протокол WINS весьма удобен для сбора данных о МАС-адресах ЭВМ в многоранговой
>> сети, где получить эти данные с помощью ARP-запросов невозможно. Какие-то данные
>> можно извлечь из кэша маршрутизаторов или таблиц сетевых переключателей, если они
>> доступны с помощью SNMP-запросов. Но WINS может дать больше данных, если
>> рабочая станция использует операционную систему Windows. Так что, когда, скажем, программа
>> Black ICE Defender пришлет вам MAC-адрес атакера, сидящего на другом континенте,
>> не удивляйтесь, на помощь был призван протокол WINS.
> Спасибо за ответ. А вы знаете программы в Linux которые могут получать
> и отфильтровывать MAC адреса через NetBIOS(WINS)? Я знаю что программа nmblookup
> (-A 192.168.6.2) может получать такую информацию а чтобы фильтровать...?с помощью external_acl_type в squid можно сделать любые проверки на которые хватит фантазии и умения
> Как блокировать МАС адрес компьютера который находится в другой подсети?На самом деле тут нет ничего сложного.
Нужно приказать этим распоясавшимся MAC-адресам.
Строго сказать им "No paaran!"
> Строго сказать им "No pasaran!"же
Гы-ы-ы..
NO PASARAN же! )))))Враг не пройдет и будет уничтожен!
PS Тень на крыльях ночи успела быстрее меня))))
Маршрутизатор из вашего примера между 5 и 6 сетями кому "подвластен"?
На чём он, ОС какая у него?Может на нём а-ля proxy-arp установлено?
И потом, что мешает пользователю сменить не только IP, но и MAC-адрес?
> Маршрутизатор из вашего примера между 5 и 6 сетями кому "подвластен"?
> На чём он, ОС какая у него?
> Может на нём а-ля proxy-arp установлено?
> И потом, что мешает пользователю сменить не только IP, но и MAC-адрес?Dlink, proxy-arp нету.
Менять MAC адрес не все знают пока. Менять IP по проще. А как вы настроили бы вы в моем случае?
>> Маршрутизатор из вашего примера между 5 и 6 сетями кому "подвластен"?
>> На чём он, ОС какая у него?
>> Может на нём а-ля proxy-arp установлено?
>> И потом, что мешает пользователю сменить не только IP, но и MAC-адрес?
> Dlink?!
Спрошу на всякий случай, вдруг там порты WAN-LAN попутали?
Случаем не обе сети (5 и 6 из вашего примера выше) у вас в порты LAN воткнуты?
> ?!
> Спрошу на всякий случай, вдруг там порты WAN-LAN попутали?
> Случаем не обе сети (5 и 6 из вашего примера выше) у
> вас в порты LAN воткнуты?Да, с настройкой, с подключениям все нормально. Сеть работает в штатном режиме. Меня интересует как одна программа блокирует MAC, а другие нет. Я повторяю блокирует MAC в своей подсети любая программа. Мне нужно как-то блокировать MAC другой подсети. Знаю по теории, вообще-то через маршрутизатор не проходит MAC реального отправителя. Но CCProxy же фильтрует как-то. Если он тоже не смог бы фильтровать по MAC адресу машину, находящую в другой подсети, тогда я не искал бы вообще другие программы которые умеют работать как CCProxy. Вот поэтому у меня такая тема на форуме. Тема открыта чтобы найти программы, которые умеют работать как CCProxy в Linux. Либо найти решения как получить и блокировать MAC клиента другой подсети.
>[оверквотинг удален]
> Меня интересует как одна программа блокирует MAC, а другие нет. Я
> повторяю блокирует MAC в своей подсети любая программа. Мне нужно как-то
> блокировать MAC другой подсети. Знаю по теории, вообще-то через маршрутизатор не
> проходит MAC реального отправителя. Но CCProxy же фильтрует как-то. Если он
> тоже не смог бы фильтровать по MAC адресу машину, находящую в
> другой подсети, тогда я не искал бы вообще другие программы которые
> умеют работать как CCProxy. Вот поэтому у меня такая тема на
> форуме. Тема открыта чтобы найти программы, которые умеют работать как CCProxy
> в Linux. Либо найти решения как получить и блокировать MAC клиента
> другой подсети.Посты 11 и 12 проливают свет на это "тёмное пятно".
Теоретически, вопрос "как блокировать" можно было бы попробовать решить через одно место.
То, через которое ещё гланды пробуют удалять.Навскидку.
1. Убрать любимый д-линк. Вместо него поставить машину с линуксом на борту.
Дальше, думаю понятно. Рубить неугодные маки на пограничном маршрутизаторе.2. Поставить CCProxy на венду, которая стоит на виртуалке, которая в свою очередь крутится на Linux'е, который построил Джек. ))
Но и то и другое дрянь.
> 2. Поставить CCProxy на венду, которая стоит на виртуалке, которая в свою
> очередь крутится на Linux'е, который построил Джек. ))---
В принципе, у меня уже есть варианты, например сделать так чтобы DHCP отдавал IP конкретным MAC'ам и уже по IP пускать и плюс в самом коммутаторе привязывать IP на MAC, тогда они даже другой IP себе прописать не могут (а то пользователи слегка узнают на какой IP имеются доступ и будут сидеть в Интернете). Но я не хочу каждый раз, чтобы открыть кому-то Интернет прописать в DHCP Server и в коммутаторе привязывать IP на MAC. А Windows у меня одна программа решила все, а в Linux не могу найти решение схоже на это. Сейчас получается чтобы открыть кому-то Интернет я должен ковыряться в Squid(acl, на какой IP какой доступ и т.п.), DHCP, коммутаторе. Странно в Linux до сих пор нету нормальное решение на это!!!(или мы не знаем)
P.S.
Кстати, авторизация по паролю тоже не пойдет. У нас узнать пароль легче, чем менять IP или MAC :)).
>[оверквотинг удален]
> не хочу каждый раз, чтобы открыть кому-то Интернет прописать в DHCP
> Server и в коммутаторе привязывать IP на MAC. А Windows у
> меня одна программа решила все, а в Linux не могу найти
> решение схоже на это. Сейчас получается чтобы открыть кому-то Интернет я
> должен ковыряться в Squid(acl, на какой IP какой доступ и т.п.),
> DHCP, коммутаторе. Странно в Linux до сих пор нету нормальное решение
> на это!!!(или мы не знаем)
> P.S.
> Кстати, авторизация по паролю тоже не пойдет. У нас узнать пароль легче,
> чем менять IP или MAC :)).Снифирят? Розгами не пробовали? ))
VPN? PPPoE?
> VPN? PPPoE?Может быть)) Но я в провайдере не работаю))! В локальной сети поднять VPN или PPPoE чтобы дать доступ к интернету..... ))! Просто в здании 300-400 компов, и уже более 200 работает в Интернете. В здании примерно 40 таких подсетей(VLAN).
Ну, а тогда вы как настроили бы доступ к Интернету, если у вас было много ранговая сеть как у меня? Есть варианты? Не только у нас же имеется сеть с такой структурой.
> Просто в
> здании 300-400 компов, и уже более 200 работает в Интернете. В
> здании примерно 40 таких подсетей(VLAN).
> Ну, а тогда вы как настроили бы доступ к Интернету, если у
> вас было много ранговая сеть как у меня? Есть варианты? Не
> только у нас же имеется сеть с такой структурой.У вас, все же, "нетриваильная" логика - настраивать в маршрутизируемой сети доступ по макам, вместо ип или пароля потому, что мак сложнее подменить. Хотя очевично, что мак архитектурно для этих целей никак не предназначен. Тогда лучше давайте доступ по сертификатам - их ещё сложнее поменять, и главное - всегда есть крайний.
> Ну, а тогда вы как настроили бы доступ к Интернету, если у
> вас было много ранговая сеть как у меня? Есть варианты? Не
> только у нас же имеется сеть с такой структурой.А тут ничего нового нет.
Как настраивать? Правильно!Если уж вы получили "в наследство" весь этот бардак, или сами запустили,
то, засучив рукава, самое время начать разгребать эти "авгиевы конюшни".Управляемые коммутаторы. D-Link, Cisco. Привязка MAC-IP.
Доступ в интернет, разумеется, по IP-адресу.
А ну как завтра вам захочется (читай прикажут) ввести чёрные/белые/серые списки? Аccess List?
А ограничить трафик, скорость, доступ? По MAC-адресу будете? А почту, видео, голос "по-уму"?
И что делать будете? Опять подпорки/костыли лепить? В самый неподходящий момент это всё когда-нибудь рухнет и придавит вас. ))По большому счету, squid не так уж и плох. Заглянув в файл squid.conf.documented, понимаешь, что может он много чего.
Виндовые "проги" в подметки ему не годятся.Так что, настраивайтесь-ка вы на "рабочий лад". Делайте всё как надо.
А иначе, ваш преемник, вас будет долго "добрым" словом вспоминать.
Самому будет морально легче. Сделал дело - плюй в потолок!Вот такие дела.
>[оверквотинг удален]
> Пример:
> 1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
> 2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
> 3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client C
> Прокси сервер блокирует клинта В по МАС адресу без проблем, потому что
> клиент В находится в одной подсети с прокси сервером.
> Прокси сервер не может блокирует клинта С по МАС адресу, потому что
> клиент С находится в другой подсети с прокси сервером.
> Самое странное в Windows CCPROXY фильтрирует клиента по МАС, а в Линуксе
> я не могу найти решение!Пожалуйста помогите !!!Можно сверху на Squid установить бесплатную версию traffpro 1.3.8 или 1.3.6. Трафик по 80 завернуть на Squid, в Squid настроить блокировки и т.д. Проверку по Mac адресу и IP будет.делать traffpro, и фильтрацию контента - Squid. Traffpro - отлично работает с подсетями, все настраивается быстро.
Это как вариант решения проблемы.
Кстати можно еще настроить PPTP доступ в Интернет, будет два типа подключения IPoE и PPTP, для бизнес центра в 200-300 компов самое-то.
Ещё stargazer есть => http://stg.dp.ua/
> Ещё stargazer есть => http://stg.dp.ua/михалыч, вам тоже огромное спасибо!
P.S.
Но тема не закрыта, если у кого-то еще есть другие предложение, пожалуйста пишите! Буду благодарен!
Кстати, всем участникам тоже огромное спасибо! :))
> Можно сверху на Squid установить бесплатную версию traffpro 1.3.8 или
> 1.3.6. Трафик по 80 завернуть на Squid, в Squid настроить блокировки
> и т.д. Проверку по Mac адресу и IP будет.делать traffpro, и
> фильтрацию контента - Squid. Traffpro - отлично работает с подсетями, все
> настраивается быстро.
> Это как вариант решения проблемы.
> Кстати можно еще настроить PPTP доступ в Интернет, будет два типа подключения
> IPoE и PPTP, для бизнес центра в 200-300 компов самое-то.UserMe, спасибо огромное! Попробую настроить.
> Можно сверху на Squid установить бесплатную версию traffpro 1.3.8 или
> 1.3.6.UserMe, а где можно скачать 1.3.8 или 1.3.6 версию traffpro? Не могу найти! У вас есть эта программа?
>> Можно сверху на Squid установить бесплатную версию traffpro 1.3.8 или
>> 1.3.6.
> UserMe, а где можно скачать 1.3.8 или 1.3.6 версию traffpro? Не могу
> найти! У вас есть эта программа?Тут есть кажется:
http://rusfolder.com/20397700Если есть зачатки линуксоида (если красно-глазик еще лучше), советую посмотреть:
Netams, Sstargazer+Ubilling и Abills.
Там тоже можно сделать привязку по IP+MAC, но времени потеряешь много в настройке этих прог (связка прог). А так тоже все работает по своему.
> Тут есть кажется:
> http://rusfolder.com/20397700
> Если есть зачатки линуксоида (если красно-глазик еще лучше), советую посмотреть:
> Netams, Sstargazer+Ubilling и Abills.
> Там тоже можно сделать привязку по IP+MAC, но времени потеряешь много в
> настройке этих прог (связка прог). А так тоже все работает по
> своему.Еще раз спасибо огромное, попробую!
>[оверквотинг удален]
>>> 1.3.6.
>> UserMe, а где можно скачать 1.3.8 или 1.3.6 версию traffpro? Не могу
>> найти! У вас есть эта программа?
> Тут есть кажется:
> http://rusfolder.com/20397700
> Если есть зачатки линуксоида (если красно-глазик еще лучше), советую посмотреть:
> Netams, Sstargazer+Ubilling и Abills.
> Там тоже можно сделать привязку по IP+MAC, но времени потеряешь много в
> настройке этих прог (связка прог). А так тоже все работает по
> своему.Не знаю как другие а Ubilling устанавливается и работает из коробки с привязкой IP+MAC+DHCP где-то за 5 минут.