Привязка MAC к IP адресу

[arkan]

Жесткая привязка MAC к IP и разруливание спомошью IPFW
Никто случайно не заморачивался над жесткой привязкой MAC кIP адресу чтоб было это все прописанно в фаерволе
по принципу срабатывает разрешающее правило по IP на фаерволе и одновременно проверялся MAC адрес и если чтото несовпадает то дропилось

Да на бывшей работе както делал такое а сейчас спустя полтора года подзабыл уже
помню что конкретно создавал список по принципу

Код: Выделить всё

192.168.1.1     00:14:2b:05:2d:ba
172.18.1.3      00:13:20:58:bf:22

а в rc.conf прописывал

Код: Выделить всё

arp_enable="YES"
arp_table="/etc/arp.conf"

И както так оно работало

Как сделать ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

21 век на улице
какая может быть привязка и что она даст?

[arkan]

какая может быть привязка и что она даст?

усложнение подбора одновременно и MAC и IP

вот и я о томже что 21 век а мы досихпор используем дедовские лопаты

[hizel]

что хотим, привяку arp таблицы или фильтрацию по mac адресу?

[paradox]

усложнение подбора одновременно и MAC и IP

какого подбора?
от чего подбора?
любой школьник за две комманды
tcpdump
ifconfig
выловит связь мака и айпи
и осуществит подмену

[arkan]

что хотим, привяку arp таблицы или фильтрацию по mac адресу?

Мне надо чтобы IPFW одновременно фильтровал как по маку так и по ИП
можно создать конечно это выражение в виде двух правил
первое проверяет IP адрес и если он правильный то проверка идет по следующему правилу уже MAC и если тоже все правильно то можно зайти, тоесть фаер разрешит вход
Но создаются таблици ARP где жестко прописывается привязка
и в IPFW уже хватает одного правила для IP адреса - както делается такое

любой школьник за две комманды
tcpdump
ifconfig
выловит связь мака и айпи
и осуществит подмену

желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH

[paradox]

желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH

а это сдесь причем?
mac адресса через роутеры не передаються
они токо локально в вашей сети живут

[arkan]

подчеркиваю
ЧЕРЕЗ РОУТЕРЫ

добавил
конечно из подсети

[sfox]

желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH

а почему нет? если в той же сети

Код: Выделить всё

ping 87.103.253.255
arp -a

подчеркиваю
ЧЕРЕЗ РОУТЕРЫ

извини, что? как ты хочешь передать второй уровень по третьему?

[paradox]

наверное я тупой
что
через роутеры?
у вас мак адресса через роутеры передаються?
круто

[arkan]

в томто и дело что из тойже подсети
всетаки 250 харь это тоже не мало
Хотя когда работад на ЖД то там именно както это делалось несмотря на клас сети B
но как я уже фиг его знает - вот поэтому и спрашиваю

Кстати программно можно вытащить MAC с удаленного сервера

[buryanov]

Управляемые свичи вам помогут, прописывываете на них привязку порта и MAC

[arkan]

Мне надо собственными средствами IPFW разрулить
а комутаторы провайдерские и половина даже неуправляемые

[zingel]

Жесткая привязка MAC к IP и разруливание спомошью IPFW

глупости, необходимо это делать железом, если делать

[arkan]

глупости, необходимо это делать железом, если делать

Глупости выкладывать деньги на железо если это все делается программно

[bwdude]

жесткую привязку mac к ip ты можешь осуществить через статические arp таблицы
мне кажется что Вам будет этого достаточно.
arp -s 87.103.253.66 00:c0:00:75:b3:fa
после этого всё что будет приходить с адреса 87.103.253.66 с другим маком будет отбрасываться.

[paradox]

но что дает такая привязка я так и не понял
если любой школьних из той же сети сам себе может сменить мак адресс

[bwdude]

но что дает такая привязка я так и не понял
если любой школьних из той же сети сам себе может сменить мак адресс

Ну не любой конечно... но некоторые особо одаренные мозгом (или мозгом друга, или коллективным мозгом интернет) могут конечно.
Но в целом это ответ на поставленный в начале вопрос.

Но поскольку подмена мак-адреса не такое уж сложное дело, то нужно усиливать секурность на уровне приложений.

[arkan]

но что дает такая привязка я так и не понял

да просто толи дело перебрать две с половиной сотни IP адресов а толи дело перебрать еще и все MAC адреса из этой подсети
на каждый MAC адрес получается по 250 IP адресов
вот и считай сам сколько вариантов нужно перебрать

[paradox]

а зачем что то перебирать?

tcpdump дает все что нужно
1)запустил
2)наловил
3)и используй))

под виндой так же есть утилиты для снифинга сети где вылавливаються пары IP/MAC

[paradox]

скан диапазона айпишников
в таблицу arp там же добавит все эти пары
и после скана
arp -a
видно будет все пары айпи мак

[arkan]

жесткую привязку mac к ip ты можешь осуществить через статические arp таблицы
мне кажется что Вам будет этого достаточно.
arp -s 87.103.253.66 00:c0:00:75:b3:fa

то что составить таблицу это и так понятно
также все понятно и с
arp_enable="YES"
arp_table="/etc/arp.conf"
но неработает собака

уважаемый paradox здесь обсуждается как можно осуществить а не для чего это надо

[bwdude]

но что дает такая привязка я так и не понял

да просто толи дело перебрать две с половиной сотни IP адресов а толи дело перебрать еще и все MAC адреса из этой подсети
на каждый MAC адрес получается по 250 IP адресов
вот и считай сам сколько вариантов нужно перебрать

получается 250 вариантов.
если при переборе будет записываться у какого IP какой mac, то и вариантов именно 250.
используй все-таки прикладной уровень

[arkan]

если при переборе будет записываться у какого IP какой mac, то и вариантов именно 250.
используй все-таки прикладной уровень

нет ксожалению а точнее к счастью получается именно в той сети не 250 вариантов - ну есть там заморочки свои
А под прикладным уровнем что именно имели ввиду ?

[paradox]

уважаемый paradox здесь обсуждается как можно осуществить а не для чего это надо

ну хорошо
обсуждайте
не буду мешать