форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Борьба с левыми подключениями в локалке через ARP"
Сообщение от Андрей on 19-Фев-02, 11:10  (MSK)
Вопрос вот в чем: хочу сделать статическую таблицу ARP на сервере ну это не проблема, а вот проблема встала - если отключить ARP на интерфейсе, то сервер знает, куда слать пакеты для конкретного адреса благодаря статической таблице ARP, а вот пользовательские компы не знают, так как ихние запросы по ARP не обрабатываются сервером вследствии отключения ARP на интерфейсе. Если сделать статическую таблицу и не выключать ARP, то достаточно пользователю прописать не занятый адрес из подсетки, и можно получить доступ к ресурсам (т.е. таблица ARP на сервере дополнится новым адресом). Вот конкретный вопрос - как сделать так, чтобы сервер имел статическую и не дополняемую таблицу ARP, и посылал ответы на ARP-запросы пользователей. сначала подумалось, что можно вырезать такой трафик через ipchains, гм.. но там я не нашел, как сослаться на arp-запросы. вот...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Борьба с левыми подключениями в локалке через ARP"
Сообщение от Nightman on 19-Фев-02, 11:55  (MSK)
>Вопрос вот в чем: >хочу сделать статическую таблицу ARP на >сервере >ну это не проблема, >а вот проблема встала - если >отключить ARP на интерфейсе, то >сервер знает, куда слать пакеты >для конкретного адреса благодаря статической >таблице ARP, а вот пользовательские >компы не знают, так как >ихние запросы по ARP не >обрабатываются сервером вследствии отключения ARP >на интерфейсе. >Если сделать статическую таблицу и не >выключать ARP, то достаточно пользователю >прописать не занятый адрес из >подсетки, и можно получить доступ >к ресурсам (т.е. таблица ARP >на сервере дополнится новым адресом). > >Вот конкретный вопрос - как сделать >так, чтобы сервер имел статическую >и не дополняемую таблицу ARP, >и посылал ответы на ARP-запросы >пользователей. >сначала подумалось, что можно вырезать такой >трафик через ipchains, гм.. но >там я не нашел, как >сослаться на arp-запросы. >вот... Думаю поможет DHCP раздаешь ip тем МAC что знаешь...остальное режешь фаирволом..хотя..может и не поможет
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Борьба с левыми подключениями в локалке через ARP"
	Сообщение от Андрей on 19-Фев-02, 13:31  (MSK)
	>Думаю поможет DHCP >раздаешь ip тем МAC что знаешь...остальное >режешь фаирволом..хотя..может и не поможет Да не хотелось бы этот сервис поднимать... Может есть другие решения ? Мне нужно сделать именно статическую и не пополняемую ARP-таблицу, но в то же время чтобы интерфейс мог "говорить" по ARP-запросам, в частности, сказать свой MAC-адрес
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Борьба с левыми подключениями в локалке через ARP"
	Сообщение от zakat on 19-Фев-02, 13:44  (MSK)
	>>Если сделать статическую таблицу и не >>выключать ARP, то достаточно пользователю >>прописать не занятый адрес из >>подсетки, и можно получить доступ >>к ресурсам (т.е. таблица ARP >>на сервере дополнится новым адресом). Бей в лоб!!! Пусть у тебя заняты 192.168.0.1, 192.168.0.2 и 192.168.0.4 тогда строим таблицу 192.168.0.1 xx:xx:xx:xx 192.168.0.2 xx:xx:xx:xx 192.168.0.3 00:00:00:00 192.168.0.4 xx:xx:xx:xx 192.168.0.5 00:00:00:00 192.168.0.6 00:00:00:00 192.168.0.7 00:00:00:00 ....................... ....................... ....................... 192.168.0.253 00:00:00:00 192.168.0.254 00:00:00:00 xx:xx:xx:xx - реальные MAC - адреса Другими словами нужно забить все свободные адреса нолями! Все кто попытается подменить адрес вывалятся из сети - ПРОВЕРЕНО РАБОТАЕТ ЧУДНО ! Для набора такого массива данных в файл?, можно написать скриптик,а потом подправить используемые адреса!!! Привет из Киева ! Андрей.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Борьба с левыми подключениями в локалке через ARP"
	Сообщение от Андрей on 19-Фев-02, 20:26  (MSK)
	> >>>Если сделать статическую таблицу и не >>>выключать ARP, то достаточно пользователю >>>прописать не занятый адрес из >>>подсетки, и можно получить доступ >>>к ресурсам (т.е. таблица ARP >>>на сервере дополнится новым адресом). >Бей в лоб!!! >Пусть у тебя заняты 192.168.0.1, 192.168.0.2 >и 192.168.0.4 >тогда строим таблицу >192.168.0.1 xx:xx:xx:xx >192.168.0.2 xx:xx:xx:xx >192.168.0.3 00:00:00:00 >192.168.0.4 xx:xx:xx:xx >192.168.0.5 00:00:00:00 >192.168.0.6 00:00:00:00 >192.168.0.7 00:00:00:00 >....................... >....................... >....................... >192.168.0.253 00:00:00:00 >192.168.0.254 00:00:00:00 > > xx:xx:xx:xx - реальные MAC - >адреса >Другими словами нужно забить все свободные >адреса >нолями! >Все кто попытается подменить адрес вывалятся >из сети - ПРОВЕРЕНО РАБОТАЕТ >ЧУДНО ! >Для набора такого массива данных в >файл?, можно написать скриптик,а потом >подправить используемые адреса!!! > > Привет из Киева ! >Андрей. Ну можно конечно и так... только вот некрасиво это как-то.. а может подрихтовать исходник arp ? вот в свое время подрихтовал исходник pppd для обслуживания подключения win-машин с доменным именем и исполнения скрипта при неправильном пароле - понравилось... хотя возможно лучше и в лоб... чтоб потом какого-нить геммороя не было...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Борьба с левыми подключениями в локалке через ARP"
	Сообщение от Евгений on 19-Фев-02, 20:58  (MSK)
	В свое время видел (на этом сайте, кажется) патч для арп, который замораживал арп-таблицу намертво (не позволяя кернелу автоматически добавлять туда новые машины). Патч был для Free 2.чего-то-там, если найдешь - я думаю адаптируешь к своим нуждам
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.