На сколько это безопасно?
Есть сервант с одним re0 (1Gb) интерфейсом и ставить ещё интерфейсы нет не возможности не желания! А нужно к нему подключить с одного провайдера 2 по 100 и в 3 локалки раздать инет.
На помощь пришла чудо железяка ZyXEL es-2108-g, настроив vlan всё чудно и как надо, тут вопросов нет. Но новая не задача когда подключили второй линк к провайдеру, поняли что напоролись на грабли, а именно – пров. раз даёт ip по dhcp и естественно два одинаковых мака рядом тем более быть не могут vlan101 и vlan102 получили от родителя re0 общи мак.
Попробовал решить проблему ifconfig vlan102 ether xx:xx:xx:xx:xx:xx но тогда трафик перестал ходить ччерез этот vlan. Ладно в чём дело читаем man ifconfig. И находим чудо опцию ifconfig re0 promisc, и всё заработало как хотелось!
Теперь новая проблема – насколько это безопасно, меня тревожит это:
Меня заботит концепция безопасности, не создал ли я супер огромную дырку в безопасности?Помещает интерфейс в состояние promiscuous. В широковещательной сети это заставляет интерфейс получать все пакеты независимо от того, были ли они предназначены для этой машины или нет. Это позволяет, используя фильтры пакетов, анализировать сетевой трафик. Обычно, это хорошая техника охоты на сетевые проблемы, которые иначе трудно отловить. Здесь весьма полезна утилита tcpdump. С другой стороны, это позволяет хакерам исследовать движение паролей по сети и делать другие черные дела. Одна защита против этого типа нападения: не позволять присоединяться к сети чужим компьютерам. Другой способ: использовать безопасные опознавательные протоколы, типа Kerberos, или SRA login. Эта опция соответствует флагу PROMISC.
Отпишитесь пожалуйста, кто реально понимает суть проблемы.
Спасибо за по траченое время!