форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"iptables и блокировка юзера с динамическим ip"	+/–
Сообщение от mist (ok) on 09-Янв-11, 21:05
Привет всем. Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер, которому нужно заблокировать доступ к серверу, но у него динамический ip. Сервер и юзер находятся в разных подсетях и даже у разных провайдеров. Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на некоторое время... заранее благодарен за советы уважаемые гуру.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables и блокировка юзера с динамическим ip"	+/–
Сообщение от sage444 (ok) on 09-Янв-11, 21:12
> Привет всем. > Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер, > которому нужно заблокировать доступ к серверу, но у него динамический ip. > Сервер и юзер находятся в разных подсетях и даже у разных > провайдеров. > Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на > некоторое время... > заранее благодарен за советы уважаемые гуру. всегда остаются административные меры для "плохих" пользователей ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables и блокировка юзера с динамическим ip"	+/–
Сообщение от shadow_alone (ok) on 09-Янв-11, 21:13
На уровне iptables никак.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от ДорогойДрук on 09-Янв-11, 21:21
	> На уровне iptables никак. Можно спамить в абуз провайдера пользователя.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "iptables и блокировка юзера с динамическим ip"	–1 +/–
	Сообщение от ДорогойДрук on 09-Янв-11, 21:25
	>> На уровне iptables никак. Можно спамить в абуз провайдера пользователя. Если повезет - об этом узнают родители пользователя и применят карательные меры. Если не повезет - думайте по какому из правонарушений подавать в суд... Даже если вы забаните всю сетку провайдера - всегда останутся прокси или другие анонимайзеры.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от mist (ok) on 09-Янв-11, 21:24
	> На уровне iptables никак. если не этим то каким другим инструментом это сделать подсилу? административными мерами это не вход. вернее выход но не для этой темы...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 09-Янв-11, 21:25
	Только на уровне авторизации для сервисов на этом сервере, если таковой есть. Иначе не вижу никакого выхода.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "iptables и блокировка юзера с динамическим ip"	+1 +/–
	Сообщение от sage444 (ok) on 09-Янв-11, 21:26
	>> На уровне iptables никак. > если не этим то каким другим инструментом это сделать подсилу? > административными мерами это не вход. вернее выход но не для этой темы... вот как вы узнаете вашего друга так и баньте ;)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "iptables и блокировка юзера с динамическим ip"	–2 +/–
Сообщение от Edd (ok) on 09-Янв-11, 22:55
> Привет всем. > Есть сервер, с публичным доступом по TCP и UDP портам. Есть юзер, > которому нужно заблокировать доступ к серверу, но у него динамический ip. > Сервер и юзер находятся в разных подсетях и даже у разных > провайдеров. > Как заблокировать только этого пользователя не баня весь диапазон провайдера. Хотябы на > некоторое время... > заранее благодарен за советы уважаемые гуру. Ну, если вычислить его МАС, то можно по маку дропать, но это только в том случаи если он с реальным IP выходит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 09-Янв-11, 22:57
	> Ну, если вычислить его МАС, то можно по маку дропать, но это > только в том случаи если он с реальным IP выходит давно так не смеялся :)))) вы суть поста читали? и как Вы по маку будете его дропать мне интересно :) ппц
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "iptables и блокировка юзера с динамическим ip"	–1 +/–
	Сообщение от Edd (ok) on 09-Янв-11, 23:23
	>> Ну, если вычислить его МАС, то можно по маку дропать, но это >> только в том случаи если он с реальным IP выходит > давно так не смеялся :)))) > вы суть поста читали? > и как Вы по маку будете его дропать мне интересно :) > ппц Я рад что насмешил вас, смех это хорошо, он говорят жизнь продлевает, хотя не всегда является хорошим тоном. Как я предлагаю дропать по маку - стандартными методами -m mac --mac-source MAC -j DROP
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 09-Янв-11, 23:27
	> Я рад что насмешил вас, смех это хорошо, он говорят жизнь продлевает, > хотя не всегда является хорошим тоном. > Как я предлагаю дропать по маку - стандартными методами -m mac --mac-source > MAC -j DROP Тяжело в деревне без нагана, да? Вы сами то думаете что пишите? Или Вы считаете, что пакет идет напрямую от его(клиента) IP к IP сервера? В теме явно указано, что клиент не то что ни с одной подсети, а даж с другого прова. Ну тогда Вам еСЧо много букв прочесть надо. :))) Семь раз подумай, один раз напиши.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от Edd (ok) on 10-Янв-11, 00:16
	>[оверквотинг удален] >> MAC -j DROP > Тяжело в деревне без нагана, да? > Вы сами то думаете что пишите? > Или Вы считаете, что пакет идет напрямую от его(клиента) IP к IP > сервера? > В теме явно указано, что клиент не то что ни с одной > подсети, а даж с другого прова. > Ну тогда Вам еСЧо много букв прочесть надо. > :))) > Семь раз подумай, один раз напиши. Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема... мда, да же как-то осадок остался, надо меньше праздников делать подряд :( Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому не надо и никто этого не ценит.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 10-Янв-11, 00:18
	> Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема... > мда, да же как-то осадок остался, надо меньше праздников делать подряд > :( > Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому > не надо и никто этого не ценит. Право же, я и не думал чем-то кичиться, и вел беседу в исключительно уважительной форме. Просто действительно смешно стало, особенно когда Вы повторно ответили, опять не подумав %)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от Edd (ok) on 10-Янв-11, 00:22
	>[оверквотинг удален] >> В теме явно указано, что клиент не то что ни с одной >> подсети, а даж с другого прова. >> Ну тогда Вам еСЧо много букв прочесть надо. >> :))) >> Семь раз подумай, один раз напиши. > Мда... ну ступил, прочитал наоборот, и не понял в чем вообще проблема... > мда, да же как-то осадок остался, надо меньше праздников делать подряд > :( > Но в любом случаи, уважаемый shadow_alone не стоит кичиться, поверьте, это никому > не надо и никто этого не ценит. Эхх, что могу еще сказать, кроме как ступил, все ж таки второй день после рождества, или уже третий. С рождеством вас.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "iptables и блокировка юзера с динамическим ip"	+/–
Сообщение от mist (ok) on 10-Янв-11, 07:09
подсказали решение, только оно основано на соединении через мост и утилитой ebtables. возникает вопрос, реально ли в мосте поймать реальный MAC пользователя или все фуфло...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 10-Янв-11, 10:49
	> подсказали решение, только оно основано на соединении через мост и утилитой ebtables. > возникает вопрос, реально ли в мосте поймать реальный MAC пользователя или все > фуфло... Вот пусть кто тебе подсказал это решение, его и применит :)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от аноним0 on 10-Янв-11, 11:57
	вы все таки задачу почетче (себе самому и другим) обрисуйте - у вас увели аккаунт с доступом на публичный сервис и вы хотите не закрывая доступ банить по IP ?! или вообще зачем все эти телодвижения ? хотите от атаки на сервис так защититься ??
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "iptables и блокировка юзера с динамическим ip"	–1 +/–
	Сообщение от mist (ok) on 10-Янв-11, 12:31
	> вы все таки задачу почетче (себе самому и другим) обрисуйте - у > вас увели аккаунт с доступом на публичный сервис и вы хотите > не закрывая доступ банить по IP ?! или вообще зачем все > эти телодвижения ? > хотите от атаки на сервис так защититься ?? аккаунт не уводили, про него вообще ничего не написано. Публичный - это обще доступный, к примеру сайт какой нибуть. авторизации для его просмотра нет. есть также сервис который висит на udp порту. тоже без авторизации. нужно чтобы юзер с динамическим ip не смог достучаться до портов сервера. не атаки, только чтобы узер перестал получать/отправлять информацию. 2shadow_alone мне просто подсказали что в ebtables есть возможность ограничения доступа по мак адресам в мостовом соединении двух карт. вот я и хочу узнать реально ли это будет работать или нет, кто мне подсказал незнает, он изложил информацию прочитанную с сайта программы. неумесные высказывания оставьте пожалуйста при себе...
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от shadow_alone (ok) on 10-Янв-11, 12:36
	> 2shadow_alone мне просто подсказали что в ebtables есть возможность ограничения доступа > по мак адресам в мостовом соединении двух карт. вот я и > хочу узнать реально ли это будет работать или нет, кто мне > подсказал незнает, он изложил информацию прочитанную с сайта программы. неумесные высказывания > оставьте пожалуйста при себе... Выше этот вопрос уже обсуждался - вы что, сами свою тему не читаете? Невозможно таким образом блокировать по маку (зарубите себе на носу, блокировка по маку до первого хопа), ни через iptables, ни через ebtables, ни через черта рогатого, ни через блат самого президента. Если бы Вы понимали как работает сеть, ваш вопрос отпал бы сам по себе. Вам однозначно ответили в самом начале - НЕВОЗМОЖНО. >в мостовом соединении двух карт А при чем тут это ВООБЩЕ?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "iptables и блокировка юзера с динамическим ip"	+/–
	Сообщение от Aleks305 (ok) on 13-Янв-11, 23:38
	>[оверквотинг удален] > Выше этот вопрос уже обсуждался - вы что, сами свою тему не > читаете? > Невозможно таким образом блокировать по маку (зарубите себе на носу, блокировка по > маку до первого хопа), ни через iptables, ни через ebtables, ни > через черта рогатого, ни через блат самого президента. > Если бы Вы понимали как работает сеть, ваш вопрос отпал бы сам > по себе. > Вам однозначно ответили в самом начале - НЕВОЗМОЖНО. >>в мостовом соединении двух карт > А при чем тут это ВООБЩЕ? невозможно потому, что при маршрутизации mac-поменяется...даже если будет один маршрутизатор на пути к вашем серваку. Написал это потому, чтобы наконец-то поняли, чтобы вы поняли наконец
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема