MAC + IP

[fox]

Добрый день обитатели форума!
Тут вот какое дело в одной из моих сете завёлся гад, SQUID у меня настроен Юзверам по определённому количеству мегабайтам в день отдавать. Но дин товарищ не совсем хороший, начал IP себе менять мало того что сквид разводит, таки трубы в firewall тоже теперь не канают на него! Решил я MAC привязать к IP! Но вопрос как это сделать красиво? Можно вод так сделать:

Код: Выделить всё

Это дело arp. Создаешь файлик mac.conf формата: 
 
192.168.0.2   00:26:af:05:ff:cc 
192.168.0.5   00:26:af:05:ff:c6 
... 
и ложишь в /etc. 
Создаешь скрипт mac.sh вида: 
#/bin/sh 
echo Loading MAC tables 
/bin/arp -f /etc/mac.conf 
echo MAC tables load 
и ложишь его в /usr/local/etc/rc.d не забыв дать права на запуск.

Но остаётся куча свободных ip и он спокойно занимает любой свободный, тогда все свободные понабивать в ноли 00:00:00:00:00:00 но представьте какая срань будет творится в arp таблице, я против такого безобразия у меня 4 карточки во внутрь смотрят, можете себе представить? 4 сегмента сети, мне кажется есть красивей способ, если кто знает отпишитесь пожалуйста очень буду блогадарен! Напишите кто знает какой способ?
За ранние спасибо!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

авторизуй их

[reLax]

Красиво это делается на Cisco Catalyst
А так, хрен знает что подсказать, раз юзверь у тебя такой продвинутый. Забань чтоли его на пару месяцев, может поможет

[paradox]

вы еще скажите что вы по сквиду трафик считаете
уже давно все нормальные люди на VPN перешли
чего и вам советую

зы
одобряю того человека который вас насчитывает на сквиде
что бы вы и другие вследующий раз думали как организовывать доступ

[fox]

ща я буду по всему офису бегать всем ВПН настраивать и объяснять что это такое а потом эта сеть с сервантом мне по наследству досталась мне нет ввремени там netams ставить и кучю ещё всего... тут маки привязать и хватит!

[fox]

а как авторизовать? по юзверам? есть ссылка на нормально отработаный конф?
За ранние спасибо!)

[LizardOfOzz]

На мой взгляд, либо vpn, либо port-security или access-list на порту, куда воткнут юзер.

[f_andrey]

ща я буду по всему офису бегать всем ВПН настраивать и объяснять что это такое а потом эта сеть с сервантом мне по наследству досталась мне нет ввремени там netams ставить и кучю ещё всего... тут маки привязать и хватит!

Вот почему все так любят решать административные вопросы, техническими методами, да еше и не предназначенными для этого

[paradox]

ща я буду по всему офису бегать всем ВПН настраивать и объяснять что это такое а потом эта сеть с сервантом мне по наследству досталась мне нет ввремени там netams ставить и кучю ещё всего... тут маки привязать и хватит!

я таких наивных людей еще не видел
мак меняеться за 3 секунды в любой операционке

ваш выход свитч подходящего уровня - который как мне кажеться стоит дороже
чем настроить впн

но если как вы говорите у вас "оффис"
то невиду смысл что то бегать и менять
достаточно узнать этого любителя
и написать докладную начальству

[fox]

не прейдёт впемя когда я буду увольнятся, я доберусь до этого человека (сынуля фин директора) я ему привенчю мак адрес безбольной битой, кровью хекать будет!

[zingel]

не вижу тут проблемы, раздавай ip по-dhcp, на порту коммутатора portsecurity

[fox]

а поподробней DHCP как раз я и настроил но статику не кто не отменял Сынуля берёт и пробивает себе ip статический пока пальцем в жооо не попадёт, секретарша уйдёт комп потушит вот он случайно нарвётса на её ip и под её ip седит развликаетса

[zingel]

static arp + port security

[MASiK]

Подходишь к его компу, заходишь под админом, гуглишь на тему запрета доступа к настройкам сети, закрываешь нафиг ему конфиги сети, и закрываешь возможность лазить в свойства устройста что бы Маки не менял, и радуешся, врятли он найдёт придлог для чего ему нужено редактировать настройки сети.

И не надо не каких 4 тонны программ, у меня в одном оффисе такойже есть кулибин, за полчаса его утихомирил

[Pal]

а что помешает юзверю подменить MAC?

[Jan]

Технический подход более труден и в данном случае почти бесполезен: письмо генеральному(исполнительному) + в аттач логи и всё )))

[Pal]

Ну почему же бесполезен? просканил сеть, записал все маки, и меняй их, да так чтобы не было конфликта адресов, ну т е чтобы чувак у которого ты мак спёр был в оффе. А чтобы обнаружить кто это делает надо поставить умный свитч и каждому клиенту по порту, либо когда подмена свершилась и оба чувака он-лайн, бегать по одному вытыкать провода из тупого свитча, чтобы спалить кто это делает. А тут если я не ошибаюсь дело происходит в офисе и такую бегатню сразу заметят=)

[Jan]

Ну почему же бесполезен? просканил сеть, записал все маки, и меняй их, да так чтобы не было конфликта адресов, ну т е чтобы чувак у которого ты мак спёр был в оффе. А чтобы обнаружить кто это делает надо поставить умный свитч и каждому клиенту по порту, либо когда подмена свершилась и оба чувака он-лайн, бегать по одному вытыкать провода из тупого свитча, чтобы спалить кто это делает. А тут если я не ошибаюсь дело происходит в офисе и такую бегатню сразу заметят=)

Я же написаль, что практически, технически почти всё реализуемо, вот только нафиг??? Лучше реализовать сквиду с АД, если контроллер домена на винде. Авторизация по логинам паролям ))) Там хоть маки, хоть ипы меняй - не поможет )))
или - письмо руководству.

[KlaccuK]

У меня это так

Код: Выделить всё

#!/bin/sh
/sbin/ifconfig rl0 staticarp
/usr/sbin/arp -ad > null
/usr/sbin/arp -f /usr/home/admin/mac
exit

Код: Выделить всё

/home/admin/>cat mac
192.168.0.3 00:0c:f1:cf:0c:64 #proxy
192.168.0.8 00:17:31:9c:64:d6 #server02

[paradox]

>KlaccuK
это ничего не даст
всеравно клиент может сменить у себя мак адресс и айпишник
и когда второй комп будет вырублен тот будет вместо него юзать инет

это самая бесполезная схема у вас

наверное там одни блондинки у вас в оффисе

[RusBiT]

ipguard попробуй.
А вообще я планирую все на des-3526 перевести, как таковой появится

[server801]

а посоветуйте чем можно раздавать интернет с авторизацией и подсчетом трафика,если можно -посоветуйте статью.

[paradox]

pptp/pppoe
+ ng_netflow для подробной статистики спец службам и для разрешения всяких конфликтных ситуаций с траффиком

[KlaccuK]

>KlaccuK
это ничего не даст
всеравно клиент может сменить у себя мак адресс и айпишник
и когда второй комп будет вырублен тот будет вместо него юзать инет

это самая бесполезная схема у вас

наверное там одни блондинки у вас в оффисе

это ты в точку и блондины тоже! еще есть squid+AD авторизация по ключикам EtokenPro

[paradox]

а как авторизовать? по юзверам? есть ссылка на нормально отработаный конф?
За ранние спасибо!)

так дествительно а что разве авторизации на сквиде нет???
включи
раздай юзерам пароли
и салют