Защита от подмены IP на внутреннем рутере
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Защита от подмены IP на внутреннем рутере
есть рутер (с самбой), к нему цепляется заводская сеть и подсеть компов на станках. Доступ к рутеру (и проброс портов в производственную сеть) нужен только для определенных машин из заводской сети. IPFW я это сделаю... но если подменят ip? подскажите метод.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
привязка IP и мака...
по хорошему - управляемую железку - и на ней ещё и к портам...
или туннели лепить...
по хорошему - управляемую железку - и на ней ещё и к портам...
или туннели лепить...
Убей их всех! Бог потом рассортирует...
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
про привязку я и сам допер. как это программно реализовать?
управляемые свичи - не дадут, с вланами мутить не особо хочется, ибо там схема такая, что эти вланы будут перекрещиваться переплетаться и пр... нафиг усложнять...
нашел вот это http://forum.lissyara.su/viewtopic.php? ... mac#p54726,
но не полетит ли у меня лесом подсеть производства и внутренние интерфейсы?
управляемые свичи - не дадут, с вланами мутить не особо хочется, ибо там схема такая, что эти вланы будут перекрещиваться переплетаться и пр... нафиг усложнять...
нашел вот это http://forum.lissyara.su/viewtopic.php? ... mac#p54726,
но не полетит ли у меня лесом подсеть производства и внутренние интерфейсы?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Защита от подмены IP на внутреннем рутере
>alex3
если юзеры настоко умные что будут менять ip то таких юзерей нужно пересаживать на vpn или если позволяет сеть то на pppoe
там точно ничего не подменять
разве что пароли и логин будут воровать)
если юзеры настоко умные что будут менять ip то таких юзерей нужно пересаживать на vpn или если позволяет сеть то на pppoe
там точно ничего не подменять
разве что пароли и логин будут воровать)
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
хорошо, перефразируем вопрос...
можно ли организовать доступ к самбе по маку? в ipfw мак отфильтровать можно, знаю...
можно ли организовать доступ к самбе по маку? в ipfw мак отфильтровать можно, знаю...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Защита от подмены IP на внутреннем рутере
мак тоже можно подменить
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
да понимаю я, что все можно сделать, но ... сопоставимо ли количество гемора с полученными преимуществами... это будет дополнительной защитой... dhcp не катит - заводская сетка устоявшаяся и большая и бегать менять настройки на компах.... впн неустраивает по очень многим причинам...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
Если используется IPv4, там есть протокол arp, в нём можно указать точное соответствие IP<>MAC и работать с IP-Адресом хоть в ipfw, хоть в Самбе.про привязку я и сам допер. как это программно реализовать?
Про всю эту полезность можно прочитать в журнале Системный Администратор. (№7 от 2004)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
спасибо, почитаю.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
- Sova
- старшина
- Сообщения: 444
- Зарегистрирован: 2006-09-13 14:10:59
- Откуда: Цхинвал-Москва
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
почитай вот это, может подойдет http://sertolovo.ru/wiki/index.php/ARPWatch
Чтобы чувствовать себя орлом, нужно летать с орлами.
-
- лейтенант
- Сообщения: 831
- Зарегистрирован: 2007-06-01 19:27:51
Re: Защита от подмены IP на внутреннем рутере
у юзера права одмина??
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
сеть смешанная... у многих свои ноуты (и у меня тоже). руководство на это смотрит сквозь пальцы... вопросы?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
-
- лейтенант
- Сообщения: 831
- Зарегистрирован: 2007-06-01 19:27:51
Re: Защита от подмены IP на внутреннем рутере
ясненько. Меня эта тема тоже интересует, но сугубо для домашки. Дык, че, у Вас есть продвижения в этом вопросе?
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
проброс портов через ipfw по mac, а в самбе придется обходится связкой host allow, security user и юзер-пароль...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
Код: Выделить всё
про привязку я и сам допер. как это программно реализовать?
если интересно как можно руками (на Сях), отпишите в тему программирования.
Z301171463546 - можно пожертвовать мне денег
-
- рядовой
- Сообщения: 19
- Зарегистрирован: 2007-10-27 22:09:33
- Откуда: Сумы, Украина
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
Управляемый коммутатор (на нем привязка мака к порту).
Статическая ARP-таблица на FreeBSD.
Остальное - подделывается и пионерстрой.
На шлюзе - ARPwatch - будет алерты слать в случае изменения IP.
Самба может оперировать только на 3 уровне (IP-адреса и подсети в smb.conf).
PS: на DHCP переходить надо, иначе будет куча головняка в дальнейшем (сам DHCP уже сейчас можно настроить на выдачу IP по MACу и постепенно перевести всю сеть).
Статическая ARP-таблица на FreeBSD.
Остальное - подделывается и пионерстрой.
На шлюзе - ARPwatch - будет алерты слать в случае изменения IP.
Самба может оперировать только на 3 уровне (IP-адреса и подсети в smb.conf).
PS: на DHCP переходить надо, иначе будет куча головняка в дальнейшем (сам DHCP уже сейчас можно настроить на выдачу IP по MACу и постепенно перевести всю сеть).
-
- проходил мимо
Благодарность
Всем привет...
Хорошо, что ведете такой хороший сайт
Добавил в избранное forum.lissyara.su.
[size=50]вообще-то это надо было писать в "о сайте" или в "/dev/null". alex3. лис, у тебя размер шрифта в опере не работает.[/size]
Хорошо, что ведете такой хороший сайт
Добавил в избранное forum.lissyara.su.
[size=50]вообще-то это надо было писать в "о сайте" или в "/dev/null". alex3. лис, у тебя размер шрифта в опере не работает.[/size]
- freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Re: Благодарность
Работает. А твой нигде не работате (IE И Опера)Весельчак писал(а):Всем привет...
Хорошо, что ведете такой хороший сайт
Добавил в избранное forum.lissyara.su.
вообще-то это надо было писать в "о сайте" или в "/dev/null". alex3. лис, у тебя размер шрифта в опере не работает.
Остатся должен только один ...
- Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Re: Защита от подмены IP на внутреннем рутере
Доброго времени суток, маленький вопросик по этой теме.
На одном из серверов такого вида привязка работает.
Делаю на втором..
-arp на внутренней сетевухе.
табличка соответсвия IP - MAC
скриптик автозапуска arp после загрузки с параметрами -f /etc/ether.local
После этого привязка работает минут 5, потом вылетает точнее компы себя и локалку видят, роутер нет.
Из за чего такое может быть?
Буду признателен за помошь:)
На одном из серверов такого вида привязка работает.
Делаю на втором..
-arp на внутренней сетевухе.
табличка соответсвия IP - MAC
скриптик автозапуска arp после загрузки с параметрами -f /etc/ether.local
После этого привязка работает минут 5, потом вылетает точнее компы себя и локалку видят, роутер нет.
Из за чего такое может быть?
Буду признателен за помошь:)
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: Защита от подмены IP на внутреннем рутере
в логах есть ответ на этот вопрос
Код: Выделить всё
dmesg -a
Z301171463546 - можно пожертвовать мне денег