https://www.opennet.ru/openforum/vsluhforumID1/64472.html Система-сервер через выделенку через модем - на мир, т.е. в интернет. Система на линухах (Федора4). Второй интерфейс - в локалку.<br><br>На системе стоит файрволл. Всё работает отлично, НО. Файрволл пользователей определяет по ИП/АРП (если ИП и МАК не совпадают - то коннект запрещён). Нашелся молодчик, который маскируется под чужие ИП/АРП(МАК) и качает их трафик (аккаунтинг траффика происходит по ИП даресам и МАКу).<br><br>Я поставил PPPoE сервер - он был в дистре. Теперь я изменил правила, и каждый пользователь подключается через PPP и после подключения ему выдаётся другой ИП, НО... Молодчик всёравно пролез. <br><br>Я попробовал и оказклось: что, к примеру, открыт доступ для адреса х.х.х.207, чел логинится в ПППоЕ с паролем ему присваивается адрес х.х.х.207, и он ходит в инет. Если же просто прописать на машине этот самый адрес (В стп/ип настройках поставить х.х.х.207, и указать шлюзом мой гейтвей) - то уже без всякой ПППоЕ коннета можно лазить в инете на чужом трафике. Т.е. Подделал ИП адрес виртуального соединения - и https://www.opennet.ru/openforum/vsluhforumID1/64472.html#17 Thu, 03 Feb 2011 10:21:27 GMT УХАХА))<br><br> https://www.opennet.ru/openforum/vsluhforumID1/64472.html#16 Tue, 31 Oct 2006 17:12:22 GMT есть проблема <br>у нас в городе есть провайдер интернета (соединение происходит по PPPoE)<br>какой то левый чел поднял свой ПППоЕ серв (дефаулт сервис) и соединение постоянно пропадает <br>т.е перехватывает все<br>как можно вычислить этого гада?? т.е ИП и МАК<br>уж очень нервы перепортил :(<br>PS: сам пров не может справиться (или не хочет) https://www.opennet.ru/openforum/vsluhforumID1/64472.html#15 Thu, 09 Mar 2006 08:53:15 GMT Тогда уже лучше 802.1x юзать.<br>Каждый пакет будет авторизоваться на радиусе (с кешированием ответа на некоторое время, естессно...)<br>Vector 1916 или Vector 1908 свитчи подходят.<br>08-й стоит около 100$<br>www.asotel.com.ua<br> https://www.opennet.ru/openforum/vsluhforumID1/64472.html#14 Wed, 08 Mar 2006 19:21:05 GMT У нас сначала доступ к интернет-серверу фильтровался по IP+MAC <br>/sbin/iptables -t nat -P PREROUTING DROP <br>/sbin/iptables -t nat -F PREROUTING <br>/sbin/iptables -t nat -i eth1 -A PREROUTING -s 192.168.7.1 -m mac --mac-source 11:22:33:44:55:66 -j ACCEPT <br>.... <br>потом настроил PPPoE сервер, запустил указанный в статье <br>http://www.opennet.ru/base/net/pppoe_firewall.txt.html<br>файл. В chap-secrets ввел пользователя<br>test * test 192.168.100.1 <br><br>добавил на PREROUTING условие <br>/sbin/iptables -t nat -i eth1 -A PREROUTING -s 192.168.100.1 -m mac --mac-source 11:22:33:44:55:66 -j ACCEPT <br><br>но доступа не получил. В самом файле для запуска PPPoE нету настроек, касающихся PREROUTING.<br><br>Как можно прикрутить к PPPoE проверку на IP+MAC?<br>Думаю, тоже самое можно сделать с INPUT, но не уверен в том, какой IP адрес разрешать 192.168.7.1 или 192.168.100.1<br>На рабочей системе не хочется экспериментировать, хочется отключать сервер - на минимально возможное время или вообще не отключать... https://www.opennet.ru/openforum/vsluhforumID1/64472.html#13 Thu, 02 Mar 2006 12:36:11 GMT другие методы кроме упраыляемого свитча с умеением 802.11q ВИЛАН - некорректны.<br>можно на той же фрии бсд поднять виланы например, но не факт, что драйверы сетевух клиентов смогут понимать виланы.<br> https://www.opennet.ru/openforum/vsluhforumID1/64472.html#12 Thu, 02 Mar 2006 12:03:02 GMT Виланы удобны в корпоративных сетях. В домовых же, где провода по щиткам идут, подрубиться к другому порту плевое дело. Да и дорого это, и порты на D-Link-ах и Compex-ах виснут. ПППоЕ чем-то лучше, но учтите, что он имеет известные проблемы с безопасностью, требователен к ресурсам и прибольшом числе абонентов крайне не надежен.<br>Можно Open-VPN, но это совсем круто. Раздать по дискетке каждому пользователю, и безопасность как в банке. Траблы те-же, но безопасность параноидальная. Forward между eth закрыть в любом случае!!!А INPUT для внутренних оставить тока на ПППоЕ/OpenVPN порт.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/64472.html#11 Wed, 01 Mar 2006 11:46:19 GMT &gt;ЗЫЫ. Интересно что наш юный хакер ещё придумает... <br><br>Изучение РФК по ПППоЕ натолкнуло меня на ряд интересных мыслей по западлостроению на ПППоЕ каналах. И думаю, что если это чудо озлобится и прийдет к тем же выводам, что и я, то связь у вас будет работать очень нестабильно, хотя полевых испытаний своих умозаключений я не проводил.<br><br>Подумайте о плавном переходе на виланы - это единственный путь из известных мне, позволяющий решительно и бесповоротно разрешить подобного рода проблемы. ПППоЕ конечно весьма неплох и дешев, но виланы лучше. https://www.opennet.ru/openforum/vsluhforumID1/64472.html#10 Wed, 01 Mar 2006 11:18:53 GMT Проблема пока временно решена. Спасибо за советы.<br><br>У меня считалка своя, т.е. когда-то не смог настроить ипстаты и написал свою на сях. Немного подглюкивает, но считает исправно. Особенность в том, что работает только с иптабласами/чейнами, любые варианты, которые меняют таблицу - не катят под них надо переписывать.<br><br>Плюс - есть часть компов, которые через сеть ходяит на внешние адреса (типа анлимитед по городу), т.е. я их должен пропускать через етх1 на етх0 и оттуда не город по-любому. Короче каша-мала. Но немного разрулил.<br><br>Решил так - на те ИП которые идут в инет и которые надо защищать добавил -i и -o для ппп интерфейса получилось: <br>/sbin/iptables -A OUTPUT -s х.х.х.х -i ppp0 -j ACCEPT<br>/sbin/iptables -A INPUT -d х.х.х.х -o ppp0 -j ACCEPT<br><br>Короче пока конкретный ИП не прошёл через ппп - он идет нафиг(ДРОП на политиках таблсов по умолчанию), а чтобы пройти через ппп - лог/пасс соответственно.<br><br>ЗЫ. И из-за этого пустяка пришлось просидеть кучу времени, сижу и думаю как сразу не догадался....... https://www.opennet.ru/openforum/vsluhforumID1/64472.html#9 Wed, 01 Mar 2006 08:09:45 GMT Уважаемый, вы просили чтобы пользователь не мог ходить в инет не авторизовавшись по PPP, а не защиту от смены IP и MAC адресов, если вам надо так, тогда милости просим RADIUS+MySQL+ авторизация MS-CHAPv2, каждому свой логин и пароль, и даже если у вас вся сеть построена на хабах, ваш особо одаренный пользователь останется только со своим снифером и кучей логов, причем IP и MAC можно менять до посинения.