Учет MAC-ов клиентских ПК в сети
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Учет MAC-ов клиентских ПК в сети
Добрый день! Есть инфраструктура с центральным FreeBSD-сервером, более сотни клиентов под виндой. На Фре стоит DHCP сервер, IPFW, который пущает всех через прозрачный прокси Squid в инет. Хотелось бы создать средство для учета MAC-адресов всех клиентов с целью не пускать в сеть инородные ПК. В идеале - создать пары "MAC - IP", если ПК не соответсвует им, рубать доступ. Есть ли что-либо готовое в портах?
P.S. "Умного" сетевого оборудования нету, вся надежда на Фрю
P.S. "Умного" сетевого оборудования нету, вся надежда на Фрю
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Re: Учет MAC-ов клиентских ПК в сети
Или проще не ждать ответа и самому скрипт писать, используя результаты arp -a?
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Учет MAC-ов клиентских ПК в сети
писать. но это гемор. от этого все равно рано или поздно уходят.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Re: Учет MAC-ов клиентских ПК в сети
а к чему уходят? к аутентификации?
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Учет MAC-ов клиентских ПК в сети
запаришься поддерживать актуальность
мак - ИП
ну вообще как знаешь...
переходите на vpn
мак - ИП
ну вообще как знаешь...
переходите на vpn
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Re: Учет MAC-ов клиентских ПК в сети
да мы как раз с VPN-а ушли)))
а поддерживать актуальность достаточно просто - сетевухи редко горят (тьху-тьху-тьху)
P.S. хотя бы маки на крайняк в базу загнать))
а поддерживать актуальность достаточно просто - сетевухи редко горят (тьху-тьху-тьху)
P.S. хотя бы маки на крайняк в базу загнать))
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Учет MAC-ов клиентских ПК в сети
ну arpwatch поможет пособирать маки.
а как боретесь если в сети заводится вирус, который меняет маки?
а как боретесь если в сети заводится вирус, который меняет маки?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: Учет MAC-ов клиентских ПК в сети
У самого так (имхо самый нормальный вариант):redhot писал(а):создать пары "MAC - IP", если ПК не соответсвует им, рубать доступ.
Код: Выделить всё
# cat /usr/local/etc/arp.list
10.10.1.2 00:1E:16:23:FE:12
10.10.1.3 00:19:CD:20:AC:EF
10.10.1.4 00:16:EC:F5:18:68
10.10.1.5 00:25:84:0B:4B:00
10.10.1.6 00:E0:81:41:3D:38
10.10.1.7 FF:FF:FF:FF:FF:FF
# cat /etc/rc.local
/usr/sbin/arp -f /usr/local/etc/arp.list
10.10.1.1 - 10.10.1.6 = Клиенты
10.10.1.7 - броадкаст
айпи сет. интерфейса: 10.10.1.1/29
т.е. тут все четко...
если есть свободные айпишники - забивай их в конфиг как "FF:FF:FF:FF:FF:FF" до ближайшей маски и по этой маске уже либо в фаере ограничивай либо самим интерфейсом
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Re: Учет MAC-ов клиентских ПК в сети
Спасибо!
Сейчас копаю в сторону парсинга логов DHCP, ибо хостнейм тоже очень важен! Нахрен в сети компы с именами Vasya, Kolya или PC-309483209483209?!
Сейчас копаю в сторону парсинга логов DHCP, ибо хостнейм тоже очень важен! Нахрен в сети компы с именами Vasya, Kolya или PC-309483209483209?!
- fox
- ст. лейтенант
- Сообщения: 1154
- Зарегистрирован: 2008-07-24 0:25:31
- Откуда: Ukraine, Donetsk
Re: Учет MAC-ов клиентских ПК в сети
whereis ipguard
Любопытно это не то что надо?
Любопытно это не то что надо?
Да пребудет с нами сила!!!
Всех убью, один останусь!
Всех убью, один останусь!
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Учет MAC-ов клиентских ПК в сети
А зачем эта вся хрень ?
Ну хорошо, привязка IP-MAC...
Далее
Ну и чего добились ?
P.S. И по сути даже никакой управляемый коммутатор с этим не справится
Ну хорошо, привязка IP-MAC...
Код: Выделить всё
[17:55 root@darkstar /home/alex]# ifconfig
msk0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
ether 00:1e:8c:30:b9:a2
inet 172.17.2.100 netmask 0xffff0000 broadcast 172.17.255.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
msk1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
ether 00:1e:8c:30:ba:6a
inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.230 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pfsync0: flags=41<UP,RUNNING> metric 0 mtu 1460
pfsync: syncdev: msk0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:bd:91:9e:00:00
inet 172.17.3.1 netmask 0xffffff00 broadcast 172.17.3.255
Opened by PID 822
Код: Выделить всё
[17:56 root@darkstar /home/alex]# tcpdump -ennqti msk0 arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on msk0, link-type EN10MB (Ethernet), capture size 96 bytes
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.25 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.11 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.58 tell 172.17.2.5
00:04:23:c5:12:f6 > ff:ff:ff:ff:ff:ff, ARP, length 106: arp who-has 172.17.2.12 tell 172.17.2.5
00:1f:d0:86:36:66 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.36 tell 172.17.2.16
00:1a:92:07:6c:19 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.200 tell 172.17.2.133
00:13:20:50:66:35 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.36
00:1e:8c:30:b9:a2 > 00:13:20:50:66:35, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1d:60:78:a7:90 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.36 tell 172.17.2.30
00:1a:92:07:6f:4c > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.7
00:1e:8c:30:b9:a2 > 00:1a:92:07:6f:4c, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1f:d0:86:36:66 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.105 tell 172.17.2.16
00:04:23:2c:1e:39 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.152 tell 172.17.2.134
00:1e:8c:30:b9:a2 > ff:ff:ff:ff:ff:ff, ARP, length 42: arp who-has 172.17.4.1 tell 172.17.2.100
00:04:23:2b:fe:8e > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.100 tell 172.17.2.151
00:1e:8c:30:b9:a2 > 00:04:23:2b:fe:8e, ARP, length 42: arp reply 172.17.2.100 is-at 00:1e:8c:30:b9:a2
00:1d:60:78:a7:90 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.151 tell 172.17.2.30
00:40:f4:2a:44:94 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.53 tell 172.17.2.159
00:1d:60:78:b3:b0 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.68 tell 172.17.2.12
00:13:20:50:66:1f > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.42 tell 172.17.2.53
00:1e:8c:a9:9f:d4 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.61 tell 172.17.2.25
00:04:79:67:78:61 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.34 tell 172.17.2.19
00:1d:60:78:b3:b0 > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.1 tell 172.17.2.12
00:13:20:50:66:1f > ff:ff:ff:ff:ff:ff, ARP, length 60: arp who-has 172.17.2.33 tell 172.17.2.53
^C
24 packets captured
794 packets received by filter
0 packets dropped by kernel
Код: Выделить всё
# ifconfig msk0 link 00:1f:d0:86:36:66
# ifconfig msk0 inet 172.17.2.16 netmask 255.255.0.0
...
или в rc.conf
...
# /etc/netstart
P.S. И по сути даже никакой управляемый коммутатор с этим не справится
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: Учет MAC-ов клиентских ПК в сети
любой нормальный пров режит броадкаст умным свитчем еще на входе, так что там арп не послушаетеreLax писал(а):И по сути даже никакой управляемый коммутатор с этим не справится
во-вторых, у управляемых свитчей биндинг "МАК---АЙПИ---Порт"
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Учет MAC-ов клиентских ПК в сети
1. У меня тут на чердаке стоит свитч некоего провайдера NetByNet. То есть иными словами Вы считаете что я этот tcpdump не получу ? Ошибаетесь. А провайдер то не маленький вроде...Там у них сейчас PPPoE правда, но не суть важно.GRooVE писал(а):любой нормальный пров режит броадкаст умным свитчем еще на входе, так что там арп не послушаетеreLax писал(а):И по сути даже никакой управляемый коммутатор с этим не справится
во-вторых, у управляемых свитчей биндинг "МАК---АЙПИ---Порт"
2. Знаю. Но у меня есть ключи от чердака. Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN) Но. Здесь вообще-то шел разговор о привязке IP-MAC на FreeBSD. А FreeBSD - это не коммутатор. arp -an и т.п. не спасут от подмены MAC-IP.
-
- рядовой
- Сообщения: 46
- Зарегистрирован: 2009-03-27 10:05:54
Re: Учет MAC-ов клиентских ПК в сети
+ еще можно добавить хостнэйм для пущей уверенности
тоесть задача-минимум: блокировать инородные MAC-и
задача-максимум: блокировать не соотвествующих приявзкам MAC-IP-hostname, или же просто MAC-Hostname, та как DHCP все равно будет менять IP!
тоесть задача-минимум: блокировать инородные MAC-и
задача-максимум: блокировать не соотвествующих приявзкам MAC-IP-hostname, или же просто MAC-Hostname, та как DHCP все равно будет менять IP!
-
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Учет MAC-ов клиентских ПК в сети
и от их ящика тоже?Знаю. Но у меня есть ключи от чердака.
тут нет проблемы (см. snmp)Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN)
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Учет MAC-ов клиентских ПК в сети
MAC-host - это как ?
К чему такая бесполезная и безумная паранойя ?
В теории скриптами возможно периодически проверять соответствие PTR записи к имени машины в DNS из таблиц того-же ipfw например, но это уже на уровне IP будет...
ipfw не пользуюсь, не помню, можно ли там в таблицу засунуть MAC (это я к тому, что засунуть туда разрешенные MAC-адреса и просто банить, то чего там нету)
К чему такая бесполезная и безумная паранойя ?
В теории скриптами возможно периодически проверять соответствие PTR записи к имени машины в DNS из таблиц того-же ipfw например, но это уже на уровне IP будет...
ipfw не пользуюсь, не помню, можно ли там в таблицу засунуть MAC (это я к тому, что засунуть туда разрешенные MAC-адреса и просто банить, то чего там нету)
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Учет MAC-ов клиентских ПК в сети
С ящика явно никто не станет снимать отпечатки пальцев, а тем более c замка, выломанного фомкой ))ev писал(а):и от их ящика тоже?Знаю. Но у меня есть ключи от чердака.
тут нет проблемы (см. snmp)Да, конечно, на коммутаторе можно прописывать на каждый порт соответствие IP-MAC...Когда 100-500-1000 машин. Но не когда их наверное несколько десятков тысяч (как у NbN)
Насчет SNMP я знаю, но не задумывался ты о том, что все эти провайдеры уже давно почему-то используют всякие VPN-ы и прочие PPPoE ?
-
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Учет MAC-ов клиентских ПК в сети
будут... им выгодно поймать человека, и придать огласке - чтоб другим неповадно былоС ящика явно никто не станет снимать отпечатки пальцев, а тем более c замка, выломанного фомкой ))
ты путаешь... одно дело авторизация для подсчета трафика, а другое дело уже оптимизация подключенийНасчет SNMP я знаю, но не задумывался ты о том, что все эти провайдеры уже давно почему-то используют всякие VPN-ы и прочие PPPoE ?
первоочередная задача - набрать абонентов и считать их в биллинге... сейчас это уже у всех работает и проблем нет... обстановка примерно стабилизировалась... но ведь можно еще получить денег (некоторые не платят и юзают локалку без оплаты например) и оптимизировать каналы... вот начинается волна оптимизаций подключений - отрубаются старые линки, проверяется корректность существующих и т.п. (просто я недавно такой софт делал)
-
- рядовой
- Сообщения: 21
- Зарегистрирован: 2008-03-12 11:06:15
Re: Учет MAC-ов клиентских ПК в сети
В плане не разрешить клиентам с "левыми маками" получать адреса от DHCP-сервера - есть опция deny unknown-clients, остальным сделать привязку к к маку. Однако остается возможность руками задать ip-параметры. Тогда блокировать на Фре в ipfw и squid'е выход в инет. Но вашу проблему
это не решит, тут только умное оборудование имхо.не пускать в сеть инородные ПК