Подмена IP как боротся?

[svmt]

Приветствую
Предистория:
4 месяца назад внутри предприятия родился приказ о льготной стоимости траффика для сотрудников предприятия использующих инет в личных целях в размере 100рэ за мег
ну тут все понятно.... squid....

вчарася пришлось поднять скандальчик по поводу подмены IP одним кренделем на IP главбуха (в отпуске)
есественно пришлось побегать прежде чем найтить гаденыша

тут я и призадумался как бы реализовать в жизнь привязку IP к мак адресу (для начала) и в случае несовпадения пары просто было "не пущщать"

arpwatch ?
а прибегая к услугам rc.firewall это возможно?
буду крайне благодарен за малюююсенький пример
спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LMik]

arp -s мак ип
man arp

Но это не спасет от подмены мака, хотя на предприятии врядли такое может произойти.

[hizel]

man arp

-f filename
Cause the file filename to be read and multiple entries to be set
in the ARP tables. Entries in the file should be of the form

hostname ether_addr [temp] [pub]

with argument meanings as given above. Leading whitespace and
empty lines are ignored. A `#' character will mark the rest of
the line as a comment.

[zingel]

BPDU guard + storm control

[LimpTeaM]

Код: Выделить всё

# Очищаем ARP
/usr/sbin/arp -d -a
# Разрешаем работу только с хостов c списанными MAC адресами.
/usr/sbin/arp -s 192.168.1.1 0:92:37:91:12:a3 pub
# Запрещаем присвоение свободных IP.
/usr/sbin/arp -s 192.168.1.2 0:0:0:0:0:0 pub 

или

Код: Выделить всё

/usr/sbin/arp -d -a
/usr/sbin/arp -f путь к файлу 

хотя в принципе одно и тоже

[dikens3]

http://forum.lissyara.su/viewtopic.php? ... arp#p71990

[savio]

а зачем squid? поднять mpd, роздать логины/пароли и делов то

[paradox]

смотря что топик мастер рулит
сетку
или сервис

если сервис то mpd лучше
если сетку то лучше dhcp либо arp статический причем на неиспользуемые ip забивать 00: и все

[LMik]

смотря что топик мастер рулит
сетку
или сервис

если сервис то mpd лучше
если сетку то лучше dhcp либо arp статический причем на неиспользуемые ip забивать 00: и все

Единственный надежный вариант от смены пары ип/мак(клонировать машину) - mpd с pppoe, pptp ненадежен из за IP уровня. Убрать IP вобще из физической сети.

[LMik]

Ну или привязка маков на портах свитчей.

[opt1k]

всё конечно хорошо, но у топик стартера есть сквид. Делов то - прикрутить авторизацию логин\пасс и никакие подмены не страшны.

[Raven2000]

всё конечно хорошо, но у топик стартера есть сквид. Делов то - прикрутить авторизацию логин\пасс и никакие подмены не страшны.

+1 я как раз хотел это первое подсказать
а потом почему это чел мог менять свой IP?? Если домен где GP?
а второе если есть управляемый свитч MAC+IP+PORT

[paradox]

все конечно хорошо
но у топикмастера может быть какая то ограниченая политика на выдавание всем и каждому пароля логина
а авторизацию по маку и айпи легко поддасовать

потому ему виднее как правильнее сделать

[svmt]

Всем спасибы за советы щас будем попробовать