Защита от подмены IP на внутреннем рутере

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-04 10:36:36

есть рутер (с самбой), к нему цепляется заводская сеть и подсеть компов на станках. Доступ к рутеру (и проброс портов в производственную сеть) нужен только для определенных машин из заводской сети. IPFW я это сделаю... но если подменят ip? подскажите метод.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение Alex Keda » 2008-06-04 10:38:03

привязка IP и мака...
по хорошему - управляемую железку - и на ней ещё и к портам...
или туннели лепить...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-04 10:43:23

про привязку я и сам допер. как это программно реализовать?
управляемые свичи - не дадут, с вланами мутить не особо хочется, ибо там схема такая, что эти вланы будут перекрещиваться переплетаться и пр... нафиг усложнять...
нашел вот это http://forum.lissyara.su/viewtopic.php? ... mac#p54726,
но не полетит ли у меня лесом подсеть производства и внутренние интерфейсы?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение manefesto » 2008-06-04 11:24:54

dhcp
я такой яростный шо аж пиздеЦ
Изображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение paradox » 2008-06-04 12:06:48

>alex3
если юзеры настоко умные что будут менять ip то таких юзерей нужно пересаживать на vpn или если позволяет сеть то на pppoe
там точно ничего не подменять
разве что пароли и логин будут воровать)

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-04 12:34:16

хорошо, перефразируем вопрос...
можно ли организовать доступ к самбе по маку? в ipfw мак отфильтровать можно, знаю...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение paradox » 2008-06-04 12:40:25

мак тоже можно подменить

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-04 13:01:33

да понимаю я, что все можно сделать, но ... сопоставимо ли количество гемора с полученными преимуществами... это будет дополнительной защитой... dhcp не катит - заводская сетка устоявшаяся и большая и бегать менять настройки на компах.... впн неустраивает по очень многим причинам...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение dikens3 » 2008-06-04 16:26:46

про привязку я и сам допер. как это программно реализовать?
Если используется IPv4, там есть протокол arp, в нём можно указать точное соответствие IP<>MAC и работать с IP-Адресом хоть в ipfw, хоть в Самбе.

Про всю эту полезность можно прочитать в журнале Системный Администратор. (№7 от 2004)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-04 20:01:16

спасибо, почитаю.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение Sova » 2008-06-05 8:15:09

почитай вот это, может подойдет http://sertolovo.ru/wiki/index.php/ARPWatch
Чтобы чувствовать себя орлом, нужно летать с орлами.


Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-18 12:21:16

сеть смешанная... у многих свои ноуты (и у меня тоже). руководство на это смотрит сквозь пальцы... вопросы?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение risk94 » 2008-06-18 16:03:43

ясненько. Меня эта тема тоже интересует, но сугубо для домашки. Дык, че, у Вас есть продвижения в этом вопросе?

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение alex3 » 2008-06-18 18:23:24

проброс портов через ipfw по mac, а в самбе придется обходится связкой host allow, security user и юзер-пароль...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение zingel » 2008-06-19 7:01:07

Код: Выделить всё

про привязку я и сам допер. как это программно реализовать?
Через ioctl && arpreq, в частности используя семафоры SIOCGIFADDR && SIOCSIFADDR, нужно проверять айпи адреса через использование RTM_NEWADDR и сопоставлять их с интерфейсами по-индексу, простейшая реализация port-security.

если интересно как можно руками (на Сях), отпишите в тему программирования.
Z301171463546 - можно пожертвовать мне денег

yakuzzza
рядовой
Сообщения: 19
Зарегистрирован: 2007-10-27 22:09:33
Откуда: Сумы, Украина
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение yakuzzza » 2008-06-30 20:38:48

Управляемый коммутатор (на нем привязка мака к порту).
Статическая ARP-таблица на FreeBSD.
Остальное - подделывается и пионерстрой.
На шлюзе - ARPwatch - будет алерты слать в случае изменения IP.
Самба может оперировать только на 3 уровне (IP-адреса и подсети в smb.conf).

PS: на DHCP переходить надо, иначе будет куча головняка в дальнейшем (сам DHCP уже сейчас можно настроить на выдачу IP по MACу и постепенно перевести всю сеть).

Весельчак
проходил мимо

Благодарность

Непрочитанное сообщение Весельчак » 2008-10-06 11:32:44

Всем привет...
Хорошо, что ведете такой хороший сайт
Добавил в избранное forum.lissyara.su.
[size=50]вообще-то это надо было писать в "о сайте" или в "/dev/null". alex3. лис, у тебя размер шрифта в опере не работает.[/size]

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Благодарность

Непрочитанное сообщение freeman » 2008-10-17 10:55:21

Весельчак писал(а):Всем привет...
Хорошо, что ведете такой хороший сайт
Добавил в избранное forum.lissyara.su.
вообще-то это надо было писать в "о сайте" или в "/dev/null". alex3. лис, у тебя размер шрифта в опере не работает.
Работает. А твой нигде не работате (IE И Опера)
Остатся должен только один ...

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение Amadeus » 2008-12-11 22:18:28

Доброго времени суток, маленький вопросик по этой теме.

На одном из серверов такого вида привязка работает.

Делаю на втором..

-arp на внутренней сетевухе.

табличка соответсвия IP - MAC

скриптик автозапуска arp после загрузки с параметрами -f /etc/ether.local

После этого привязка работает минут 5, потом вылетает точнее компы себя и локалку видят, роутер нет.

Из за чего такое может быть?
Буду признателен за помошь:)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Защита от подмены IP на внутреннем рутере

Непрочитанное сообщение zingel » 2008-12-12 15:47:22

в логах есть ответ на этот вопрос

Код: Выделить всё

dmesg -a
Z301171463546 - можно пожертвовать мне денег