URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 1076
[ Назад ]

Исходное сообщение
"Тематический каталог: Привязка IP к MAC адресу (bsd arp filter mac ethernet)"

Отправлено auto_topic , 01-Окт-02 18:07 
Обсуждение статьи тематического каталога: Привязка IP к MAC адресу (bsd arp filter mac ethernet)

Ссылка на текст статьи: http://www.opennet.me/base/net/arp_filter.txt.html


Содержание

Сообщения в этом обсуждении
"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Alex , 01-Окт-02 18:07 
Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek 8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?

"RE: Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Горник , 01-Окт-02 21:45 
>Ещё как либо возможно контролировать конкретную машину?

Убираем хабы и ставим везде свичи с возможностью фильтрации MAC адресов.
Для каждого юзера на свиче прописываем фильтр, где пропускаем только реальный MAC-адрес.


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено вандал , 23-Апр-04 16:30 
>Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek
>8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?
написано Алексом от 01 окт 02 18:07
отправь на мыло как это сделать и как узнать МАС другой машины!



"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Сергей , 09-Окт-04 19:46 
Слушай,раскажи как можно сменить MAC.У меня карта такаяже.

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено вандал , 23-Апр-04 16:31 
>Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek
>8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?
написано Алексом от 01 окт 02 18:07
отправь на мыло как это сделать и как узнать МАС другой машины!

Diac@mail.kz


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Evgeniy , 16-Мрт-03 02:51 
А можно как нибудь запретить неупровляемому СВИТЧУ изменять таблицу МАС адресов?????

Какая микросхема в свитче отвечяет за запись МАС адресов????


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Tressa , 06-Июн-03 13:04 
А если HPNA (1,2) а не свичи?

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Dmitry , 10-Июн-03 10:02 
Данную проблему решил собственно так:
в БД загнал все ip и связанные с ними mac, затем правила для каждого хоста. Написал на перле скрипт который из бд создает правила для фаервола,первым правилом стоит проверка ip в связке с mac. Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для данного хоста...
Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол просто не пустит.
А на счет смены mac, так только выручать вумные свичи...

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено SergeS , 13-Июн-03 20:39 
>Данную проблему решил собственно так:
>в БД загнал все ip и связанные с ними mac, затем правила
>для каждого хоста. Написал на перле скрипт который из бд создает
>правила для фаервола,первым правилом стоит проверка ip в связке с mac.
>Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для
>данного хоста...
>Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол
>просто не пустит.
>А на счет смены mac, так только выручать вумные свичи...
мой 3сom 4400 похоже этого не умеет(((

а пример можешь выслать? Я просто ищу пример скриптов, сейчас сам столкнулся с этим. "Война" с одним из операторов. Но mac менять не умеет пока никто в сетке.
tennen#mail.od.ua.



"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено mic , 07-Авг-03 07:09 
У меня такаяже проблема встала.
Юзера ходят через сквид, но вот захотели и почту забирать и по фтп нормально ходить.

Мужики, у меня такая идея родилась:
Прога меленькая на клиенте слушает порт (к примеру 3000).
На сервере прога типа natd при попытке доступа во внешний мир посылает запрос на 3000 порт насчет логин-пароля.
В ipfw divert'ить на это прогу.

Вот такая замен вумных свичей прогами :)


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Fduch , 22-Авг-03 14:11 
>Данную проблему решил собственно так:
>в БД загнал все ip и связанные с ними mac, затем правила
>для каждого хоста. Написал на перле скрипт который из бд создает
>правила для фаервола,первым правилом стоит проверка ip в связке с mac.
>Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для
>данного хоста...
>Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол
>просто не пустит.
>А на счет смены mac, так только выручать вумные свичи...
Не понял я... а что мешает мне сменить мак вместе с ИП?
Ставлю на своей машине твой МАК и твой ИП - и что твои правила мне скажут?


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Krigs , 02-Ноя-04 04:21 
Привет, прочел Вашу заметку на opennet.ru
Не обязательно писать на перле скрипт и потом проверять б/д и менять правила в файерволе.
Есть более простой способ. Я сделал так (идею тоже нашел на этом сайте):
1 Создал файл б/д привязки IP к MAC (например /etc/ethers.local)
        Пример строк из файла:
            192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2
            192.168.0.12 00:0d:88:82:da:a2 #mobil
                    и т. д.
2 Написал скрипт такого содержания: (например /etc/static.arp):

        #!/bin/sh
# обнуляем всю таблицу arp
            arp -ad > null
# к каждому компу в локальной сети привязываем несуществующий (нулевой)
# MAC адрес
            I=1
            while [ $I -le 254 ]
             do
                  arp -s 192.168.0.${I} 0:0:0:0:0:0
                  I=`expr $I + 1`
            done
#  к реально существующему компу в сети из базы данных в файле
# /etc/ethers.local  привязываем
#  правильный MAC адрес
           arp -f   /etc/ethers.local
3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую
строчку:
        /etc/static.arp
Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были
прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет
рассылать широковещательные запросы о локальных MAC адресах, т. к. все они
статически жестко привязаны к ip-адресам. Этим убивается два зайца: не
рассылаются широковещательные запросы, что экономит траффик и время на ответ сервера, и не позволяет пользователю менять свой ip-адрес, т. к. сервер все равно пакет будет отправлять на жестко привязанный  MAC адрес.
        Еще заметка. В нашей сети используются радиокарточки D-Link DWL 520+ Я еще не знаю, как для них  под Виндой программно сменить аппаратный адрес (а под FreeBsd, насколько я знаю эти карточки не работают). Так что на некоторое время немного успокоился.
     А вот сменить аппаратный (MAC ) адрес RTL-8139 под Виндой действительно очень легко (сам проверял даже под Win98), там прямо в драйвере --свойства карточки -- дополнительно -- аппаратный адрес. А ведь на таком чипе работает очень много, если не большинство современных дешевых сетевых карточек. И меняй какой хочешь, только надо знать какой писать. А узнать тоже довольно легко одинаково и под Виндами, и под BSD:
    делаем команду ping на заведомо известный ip-адрес локальной сети, а
потом
    командой arp -a смотрим что получилось
И в конце концов собираем всю таблицу привязки для всей локальной сети.
Потом только ждем когда отключится какой нибудь комп в локальной сети (тоже вычисляем командой ping), и спокойненько присваеваем его ip и MAC адреса, перезагружаемся и пользуемся инетом, а сосед оплачивает наши художества и соответственно ругается с нами-провайдерами, а мы ничего и поделать не можем, даже вычислить хулигана. И не помогут даже ни Ваши правила в файерволе, и ни моя статическая привязка. Правда такого беспредела еще у меня не было (бог миловал), но в перспективе возможно. И как от такого лечиться - не знаю.
    Говорят знающие люди, что можно использовать туннелирование через VPN
протокол - там проверяется кроме ip и MAC адресов еще и логин и пароль (еще и шифруются). Но вот как настроить его под FreeBsd, извините, пока не знаю. Но работать и учиться в этом направлении надо обязательно, если что то такое об этом знаете, или ссылки какие есть - очень прошу прислать. Это скоро может быть жизненно необходимо.
        Правда есть еще одна фича. Жесткая привязка ip к MAC адресам
существует и в Виндах, даже во всех, начиная с 98 (о 95 не знаю) не говоря
уже об ХР и 2К. Там есть команда типа
    arp -s 157.55.85.212   00-aa-00-62-c6-09
Тоже делает жесткую привязку в таблице arp Поэтому если мы у каждого
пользователя жестко привяжем ip провайдерского сервера к его MAC адресу, а
все остальные ip привяжем к нереальным MAC адресам (это можно сделать
аналогично тому, как было описано выше, только все команды надо записать в
bat файл, а потом его прописать где то в реестре или в system.ini - это уже как больше нравится. Теперь локальная машина тоже не будет отправлять
широковещательные запросы, а будет отправлять ответы только на жестко
привязанные MAC адреса. А поскольку они все "от фонаря" кроме провайдерского сервера, то ни на какие команды вроде ping ответы приходить не будут (кроме сервера конечно т. к. на него прописан правильный МАС адрес). Этим хулигану обрубывается возможность узнать МАС адрес бедного простого юзера и естественно прописать он его не сможет. Простому юзеру объясняется что эта процедура делается для его же блага и безопасности. А если юзер и снесет ее из автозагрузки и хакер воспользуется этим - то тут уже на его претензии можно ответить, что он сам виноват, удалив прогу провайдера для обеспечения безопасности.
        Есть одна издержка данного метода. После описанной процедуры простые юзеры не смогут связываться друг с дружкой и гонять игрушки по сети. Но в этом тоже есть свой плюс. Теперь появляется возможность контролировать локальный траффик хотя бы на качественном уровне -- той паре юзеров, которые хотят видеть друг друга в сети можем попарно дописать в таблицу arp еще по одному правильному МАС адресу. Т. е. узнать МАС адреса теперь они смогут только друг у дружки. А это конечно не так страшно, как если бы его мог узнать неизвестно кто, особенно если это все учитывать и вести журнал типа кому и что было когда то разрешено. Это намного сужает круг поиска, если кто то друг у друга все же сворует МАС адрес.
    Кроме того за этот траффик в локальной сети можно брать еще небольшую дополнительную плату, в отличие от тех, кто такой услугой (или возможностью -не знаю как правильнее сказать) не пользуется. И предоставлять только тем, кто попросит.

PS Конечно я своими выкладками совсем не претендую на истину в последней
инстанции, но все же очень бы хотелось услышать Ваше мнение. Так что если
Вас не затруднит, то пожалуйста ответьте мне.
С уважением
Krigs


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Az , 17-Сен-03 16:23 
pppoe ставь и не парься

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Devil , 12-Ноя-03 14:37 
А вот на этом месте поподробней... =)

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено macarena , 22-Янв-04 16:31 
можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно будет на всех??

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено dmitry , 23-Янв-04 08:06 
>можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно
>будет на всех??

имеется ввиду, что поставить связку на две пары Ip+mac, а остальные чтобы динамически не добавлялись?
Если так, то можно на все остальные ip прописать связку на mac 00:00:00:00:00:00 или просто утановить политику по умолчанию DROP, а на первые два ip ACCEPT + проверку ip+mac.


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено KBAKEP , 20-Фев-04 21:05 
А почему pub, а не permanent?

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Igoris Iseberg , 04-Июн-04 02:21 
Я думаю, что эту проблему можно решить так (хотя, если учитывать возможность замены МАС адреса, это все-таки половинчатое решение)
1. В firewall прописываем все! возможные (даже в данный момент несуществующие) ip адреса сети и указываем на них необходимые pipe или deny.
2.В программе учета траффика учитываем эти несуществующие ip-адреса, это даст возможность отлова несанкционираванных подключений по ip-адресу
2. В /etc/hosts ip-адреса привязываем к именам хостов.
3. Создаем файл, напр. /etc/filename, в котором привязываем имена хостов к МАС адресам (формат файла: hostname MAC_addr
Несуществующим машинам присваиваем произвольные (несуществующие) МАС адреса.
4. Запускаем arp с ключом -f:
arp -f /etc/filename

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Axel , 23-Ноя-04 19:40 
Конечно выход, но блин если у тебя несколько подсетей то это сколько же нужно сидеть пописывать

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено grok , 01-Дек-04 06:10 
А вот как заставить netbios-имена клиентов соответствовать именам в /etc/filename? Ведь очень часто пользователи происзвольно меняют имена машин. Ставить самбу с nmbd?

"Привязка IP к MAC адресу"
Отправлено light , 03-Мрт-05 10:44 
а есть какой нить вариант для рутера на винде?
сеть маленькая, но умники, меняющие ипы тоже имеются

может какая нибуть сторонняя програмка есть?


"Привязка IP к MAC адресу"
Отправлено Dmitry , 03-Мрт-05 14:56 
>а есть какой нить вариант для рутера на винде?
>сеть маленькая, но умники, меняющие ипы тоже имеются
>
>может какая нибуть сторонняя програмка есть?

В windows 2003 server, есть arp.exe - жесткая привязка мак к ип.
arp /? - и там всё интуитивно понятно.


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено light , 06-Мрт-05 08:25 
просто в 2000 серв такое тоже есть, но работать не захотело... не обязано?

"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено Dmitry , 28-Мрт-05 15:17 
>просто в 2000 серв такое тоже есть, но работать не захотело... не
>обязано?
нет


"Привязка IP к MAC адресу (bsd arp filter mac ethernet)"
Отправлено light , 28-Мрт-05 19:40 
проверил на 2003 серв... аналогично.. работать не захотело ))

пускает как ип с другим маком, так и мак с другим ипом...

мож в 2003 как на фре есть какиенить "опции ядра" ? )))
(фантастика)