форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Защита от смены IP"
Сообщение от Desti on 30-Окт-00, 12:44  (MSK)
Ситуация: домашняя локалка, один из компов (FreeBSD) подключен к интернету. Он-же squid, файрвол, почтарь (короче, полный набор). На нем-же крутится самопальный тарификатор (ipfw+MySQL). Проблема: система не защищена от смены пользователем своего IP. Если человек поменяет свой адрес на чужой (например, на адрес человека, которого нет в сети сейчас), то тарификатор будет считать чужой трафик. Как этого избежать? В идеале - заставить ipfw работать с MAC адресом, но может есть что-то попроще?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Защита от смены IP"
Сообщение от Slava on 30-Окт-00, 13:06  (MSK)
На линухе делалось так: arp -s ip_adress mac_adress в резельтате ip принимается только с указанного mac адреса, может и на фре как то так...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Защита от смены IP"
	Сообщение от Desti on 30-Окт-00, 13:19  (MSK)
	Опаньки... Спасибо. Про arp я забыл (или не знал ;) )
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Защита от смены IP"
	Сообщение от URIX on 30-Окт-00, 18:33  (MSK)
	не спасет. MAC тоже подменяется (ifconfig ethx hw ether xx:xx:xx:xx:xx:xx)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Защита от смены IP"
	Сообщение от killaman on 15-Ноя-00, 12:46  (MSK)
	а это надо сделать один раз или при каждом ребуте?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Защита от смены IP"
Сообщение от UMKA on 30-Окт-00, 18:53  (MSK)
У меня стоит на сервере линух. Была такая-же ситуация... я сделал очень просто..залез в ядро и запретил ему самому добавлять в ARP таблицу, закоментировав кусок кода....(это файл arp.c в линухе) НО СНАЧАЛА СДЕЛАЛ ARP таблицу залезь на http://www.opennet.me/base/net/macip.txt.html кста! если возможно, расскажи про твою статистику, и если возможно, скинь на мыло.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Защита от смены IP"
	Сообщение от Slava on 30-Окт-00, 20:07  (MSK)
	да, mac адрес можно подменить, но тут ничего не поделаешь, да и не каждый изер это сможет... я не понял зачем лезть в кернел, ведь arp -s ip mac как раз жестко назначает мак адрес... а неиспользуемые IP можно закрыть другим способом... вопрос про статистику интересен и мне, кто, что использует для ведения лога по трафику ? я nacctd, и столкнулся с проблемой слишком большего лога за месяц, сейчас думаю его поправить чтобы он порты клиента не писал, может есть другие варианты ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Защита от смены IP"
	Сообщение от UMKA on 30-Окт-00, 20:41  (MSK)
	я тоже с этим столкнулся arp -f /etc/ethers c прописанными MAC и IP адресами, это хорошо, но ненадёжно... кернел сам добавляет записи в ARP таблицу... но когда ему "подрезаешь руки" - ещё лучше... и только arp -f /etc/ethers спасает :) эт как логин и пароль. как тока я ядро подрезал сразу  некоторые хитровы.....ые  пользователи поняли, что делать это нехорошо :)... и спокоен, как удав.....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Защита от смены IP"
	Сообщение от Slava on 30-Окт-00, 21:00  (MSK)
	>я тоже с этим столкнулся >arp -f /etc/ethers c прописанными MAC >и IP адресами, это хорошо, >но ненадёжно... >кернел сам добавляет записи в ARP >таблицу... он добавляет сам только при условии, что этот ip не был закреплен командочкой arp, уже закрепленный ip он не перезаписывает, только что проверил >но когда ему "подрезаешь руки" - >ещё лучше... >и только arp -f /etc/ethers спасает твой вариант имеет смысл только для адресов имеющихся в данной сети но не закрепленных ни за кем arp'ом, но для такого случая можно воспользоваться файволом или (что хуже) привязать к ним несуществующие мак адреса
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Защита от смены IP"
	Сообщение от ZOD on 01-Ноя-00, 03:52  (MSK)
	В принципе можно сменить ip и mac на существующий в данном сегменте и тогда все его пропустят и ничего с этим не сделаешь. Палить смену IP и MAC надо в момент смены (походу его можно увидеть). Кстати интересна реакция сети на 2 одинаковых mac и ip впринципе всё должно работать. С уважением ZOD.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Защита от смены IP"
	Сообщение от URIX on 17-Ноя-00, 13:10  (MSK)
	момент смены mac'а не сечется, интерфейс до этого еще не активен а вот по поводу двух одинаковый ip и mac, у меня в этот момент почта не работала почему-то, а все остальное нормально, самое интересное, что вторая машина была на мастдае'9x, так у нее вообще никакой связи не было ;)))))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Защита от смены IP"
	Сообщение от URIX on 30-Окт-00, 20:45  (MSK)
	есть mrta, вроде как. но я с ним не работал, даже не видел
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.