Учет MAC-ов клиентских ПК в сети

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 10:22:46

Добрый день! Есть инфраструктура с центральным FreeBSD-сервером, более сотни клиентов под виндой. На Фре стоит DHCP сервер, IPFW, который пущает всех через прозрачный прокси Squid в инет. Хотелось бы создать средство для учета MAC-адресов всех клиентов с целью не пускать в сеть инородные ПК. В идеале - создать пары "MAC - IP", если ПК не соответсвует им, рубать доступ. Есть ли что-либо готовое в портах?
P.S. "Умного" сетевого оборудования нету, вся надежда на Фрю

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 11:10:11

Или проще не ждать ответа и самому скрипт писать, используя результаты arp -a?

schizoid

писать. но это гемор. от этого все равно рано или поздно уходят.

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 11:31:22

а к чему уходят? к аутентификации?

schizoid

запаришься поддерживать актуальность
мак - ИП
ну вообще как знаешь...
переходите на vpn

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 12:10:18

да мы как раз с VPN-а ушли)))
а поддерживать актуальность достаточно просто - сетевухи редко горят (тьху-тьху-тьху)

P.S. хотя бы маки на крайняк в базу загнать))

schizoid

ну arpwatch поможет пособирать маки.
а как боретесь если в сети заводится вирус, который меняет маки?

GRooVE · Непрочитанное сообщение **GRooVE** » 2009-11-10 12:22:11

redhot писал(а):создать пары "MAC - IP", если ПК не соответсвует им, рубать доступ.

У самого так (имхо самый нормальный вариант):

Код: Выделить всё

# cat /usr/local/etc/arp.list
10.10.1.2 00:1E:16:23:FE:12
10.10.1.3 00:19:CD:20:AC:EF
10.10.1.4 00:16:EC:F5:18:68
10.10.1.5 00:25:84:0B:4B:00
10.10.1.6 00:E0:81:41:3D:38
10.10.1.7 FF:FF:FF:FF:FF:FF
# cat /etc/rc.local
/usr/sbin/arp -f /usr/local/etc/arp.list

В моем случае:
10.10.1.1 - 10.10.1.6 = Клиенты
10.10.1.7 - броадкаст
айпи сет. интерфейса: 10.10.1.1/29
т.е. тут все четко...
если есть свободные айпишники - забивай их в конфиг как "FF:FF:FF:FF:FF:FF" до ближайшей маски и по этой маске уже либо в фаере ограничивай либо самим интерфейсом

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 12:28:37

Спасибо!
Сейчас копаю в сторону парсинга логов DHCP, ибо хостнейм тоже очень важен! Нахрен в сети компы с именами Vasya, Kolya или PC-309483209483209?!

fox · Непрочитанное сообщение **fox** » 2009-11-10 17:41:37

whereis ipguard
Любопытно это не то что надо?

reLax · Непрочитанное сообщение **reLax** » 2009-11-10 17:59:35

А зачем эта вся хрень ?
Ну хорошо, привязка IP-MAC...

Код: Выделить всё

[17:55 root@darkstar /home/alex]# ifconfig
msk0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
        ether 00:1e:8c:30:b9:a2
        inet 172.17.2.100 netmask 0xffff0000 broadcast 172.17.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
msk1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
        ether 00:1e:8c:30:ba:6a
        inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
        inet 192.168.0.230 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pfsync0: flags=41<UP,RUNNING> metric 0 mtu 1460
        pfsync: syncdev: msk0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:bd:91:9e:00:00
        inet 172.17.3.1 netmask 0xffffff00 broadcast 172.17.3.255
        Opened by PID 822

Далее

Код: Выделить всё

[17:56 root@darkstar /home/alex]# tcpdump -ennqti msk0 arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on msk0, link-type EN10MB (Ethernet), capture size 96 bytes
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.25 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.11 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.58 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.12 tell 172.17.2.5
00:1f:d0:86:36:66 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.36 tell 172.17.2.16
00:1a:92:07:6c:19 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.200 tell 172.17.2.133
00:13:20:50:66:35 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.36
00:1e:8c:30:b9:a2 > 00:13:20:50:66:35, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1d:60:78:a7:90 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.36 tell 172.17.2.30
00:1a:92:07:6f:4c > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.7
00:1e:8c:30:b9:a2 > 00:1a:92:07:6f:4c, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1f:d0:86:36:66 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.105 tell 172.17.2.16
00:04:23:2c:1e:39 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.152 tell 172.17.2.134
00:1e:8c:30:b9:a2 > ff:ff:ff:ff:ff:ff, ARP, length 42: arp who-has 172.17.4.1 tell 172.17.2.100
00:04:23:2b:fe:8e > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.151
00:1e:8c:30:b9:a2 > 00:04:23:2b:fe:8e, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1d:60:78:a7:90 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.151 tell 172.17.2.30
00:40:f4:2a:44:94 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.53 tell 172.17.2.159
00:1d:60:78:b3:b0 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.68 tell 172.17.2.12
00:13:20:50:66:1f > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.42 tell 172.17.2.53
00:1e:8c:a9:9f:d4 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.61 tell 172.17.2.25
00:04:79:67:78:61 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.34 tell 172.17.2.19
00:1d:60:78:b3:b0 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.1 tell 172.17.2.12
00:13:20:50:66:1f > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.33 tell 172.17.2.53
^C
24 packets captured
794 packets received by filter
0 packets dropped by kernel

Код: Выделить всё

# ifconfig msk0 link 00:1f:d0:86:36:66
# ifconfig msk0 inet 172.17.2.16 netmask 255.255.0.0
...
или в rc.conf
...
# /etc/netstart

Ну и чего добились ?

P.S. И по сути даже никакой управляемый коммутатор с этим не справится

GRooVE · Непрочитанное сообщение **GRooVE** » 2009-11-10 18:29:49

reLax писал(а):И по сути даже никакой управляемый коммутатор с этим не справится

любой нормальный пров режит броадкаст умным свитчем еще на входе, так что там арп не послушаете
во-вторых, у управляемых свитчей биндинг "МАК---АЙПИ---Порт"

reLax · Непрочитанное сообщение **reLax** » 2009-11-10 18:41:33

GRooVE писал(а):
reLax писал(а):И по сути даже никакой управляемый коммутатор с этим не справится
любой нормальный пров режит броадкаст умным свитчем еще на входе, так что там арп не послушаете
во-вторых, у управляемых свитчей биндинг "МАК---АЙПИ---Порт"

1. У меня тут на чердаке стоит свитч некоего провайдера NetByNet. То есть иными словами Вы считаете что я этот tcpdump не получу ? Ошибаетесь. А провайдер то не маленький вроде...Там у них сейчас PPPoE правда, но не суть важно.
2. Знаю. Но у меня есть ключи от чердака. Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN)

Но. Здесь вообще-то шел разговор о привязке IP-MAC на FreeBSD. А FreeBSD - это не коммутатор. arp -an и т.п. не спасут от подмены MAC-IP.

redhot · Непрочитанное сообщение **redhot** » 2009-11-10 19:15:28

+ еще можно добавить хостнэйм для пущей уверенности

тоесть задача-минимум: блокировать инородные MAC-и
задача-максимум: блокировать не соотвествующих приявзкам MAC-IP-hostname, или же просто MAC-Hostname, та как DHCP все равно будет менять IP!

ev · Непрочитанное сообщение ev » 2009-11-10 19:29:41

Знаю. Но у меня есть ключи от чердака.

и от их ящика тоже?

Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN)

тут нет проблемы (см. snmp)

reLax · Непрочитанное сообщение **reLax** » 2009-11-10 19:34:00

MAC-host - это как ?

К чему такая бесполезная и безумная паранойя ?

В теории скриптами возможно периодически проверять соответствие PTR записи к имени машины в DNS из таблиц того-же ipfw например, но это уже на уровне IP будет...
ipfw не пользуюсь, не помню, можно ли там в таблицу засунуть MAC (это я к тому, что засунуть туда разрешенные MAC-адреса и просто банить, то чего там нету)

reLax · Непрочитанное сообщение **reLax** » 2009-11-10 19:38:55

ev писал(а):
Знаю. Но у меня есть ключи от чердака.
и от их ящика тоже?

Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN)
тут нет проблемы (см. snmp)

С ящика явно никто не станет снимать отпечатки пальцев, а тем более c замка, выломанного фомкой ))

Насчет SNMP я знаю, но не задумывался ты о том, что все эти провайдеры уже давно почему-то используют всякие VPN-ы и прочие PPPoE ?

ev · Непрочитанное сообщение ev » 2009-11-10 20:21:49

С ящика явно никто не станет снимать отпечатки пальцев, а тем более c замка, выломанного фомкой ))

будут... им выгодно поймать человека, и придать огласке - чтоб другим неповадно было

Насчет SNMP я знаю, но не задумывался ты о том, что все эти провайдеры уже давно почему-то используют всякие VPN-ы и прочие PPPoE ?

ты путаешь... одно дело авторизация для подсчета трафика, а другое дело уже оптимизация подключений
первоочередная задача - набрать абонентов и считать их в биллинге... сейчас это уже у всех работает и проблем нет... обстановка примерно стабилизировалась... но ведь можно еще получить денег (некоторые не платят и юзают локалку без оплаты например) и оптимизировать каналы... вот начинается волна оптимизаций подключений - отрубаются старые линки, проверяется корректность существующих и т.п. (просто я недавно такой софт делал)

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-11 14:13:11

В плане не разрешить клиентам с "левыми маками" получать адреса от DHCP-сервера - есть опция deny unknown-clients, остальным сделать привязку к к маку. Однако остается возможность руками задать ip-параметры. Тогда блокировать на Фре в ipfw и squid'е выход в инет. Но вашу проблему

не пускать в сеть инородные ПК

это не решит, тут только умное оборудование имхо.

forum.lissyara.su

Учет MAC-ов клиентских ПК в сети

Учет MAC-ов клиентских ПК в сети

Услуги хостинговой компании Host-Food.ru

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети

Re: Учет MAC-ов клиентских ПК в сети