Страница 1 из 2
Привязка MAC к IP адресу
Добавлено: 2009-10-15 13:29:46
arkan
Жесткая привязка MAC к IP и разруливание спомошью IPFW
Никто случайно не заморачивался над жесткой привязкой MAC кIP адресу чтоб было это все прописанно в фаерволе
по принципу срабатывает разрешающее правило по IP на фаерволе и одновременно проверялся MAC адрес и если чтото несовпадает то дропилось
Да на бывшей работе както делал такое а сейчас спустя полтора года подзабыл уже
помню что конкретно создавал список по принципу
Код: Выделить всё
192.168.1.1 00:14:2b:05:2d:ba
172.18.1.3 00:13:20:58:bf:22
а в rc.conf прописывал
И както так оно работало
Как сделать ?
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 13:31:29
paradox
21 век на улице
какая может быть привязка и что она даст?
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 13:50:07
arkan
paradox писал(а):какая может быть привязка и что она даст?
усложнение подбора одновременно и MAC и IP
вот и я о томже что 21 век а мы досихпор используем дедовские лопаты
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 13:53:57
hizel
что хотим, привяку arp таблицы или фильтрацию по mac адресу?
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 13:59:07
paradox
усложнение подбора одновременно и MAC и IP
какого подбора?
от чего подбора?
любой школьник за две комманды
tcpdump
ifconfig
выловит связь мака и айпи
и осуществит подмену
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 17:28:07
arkan
hizel писал(а):что хотим, привяку arp таблицы или фильтрацию по mac адресу?
Мне надо чтобы IPFW одновременно фильтровал как по маку так и по ИП
можно создать конечно это выражение в виде двух правил
первое проверяет IP адрес и если он правильный то проверка идет по следующему правилу уже MAC и если тоже все правильно то можно зайти, тоесть фаер разрешит вход
Но создаются таблици ARP где жестко прописывается привязка
и в IPFW уже хватает одного правила для IP адреса - както делается такое
paradox писал(а):
любой школьник за две комманды
tcpdump
ifconfig
выловит связь мака и айпи
и осуществит подмену
желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 17:34:49
paradox
желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH
а это сдесь причем?
mac адресса через роутеры не передаються
они токо локально в вашей сети живут
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 17:45:04
arkan
подчеркиваю
ЧЕРЕЗ РОУТЕРЫ
добавил
конечно из подсети
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 17:45:41
sfox
arkan писал(а):желаю удачи 87.103.253.66 - какой IP и MAC требует IPFW для входа на SSH
а почему нет? если в той же сети
arkan писал(а):подчеркиваю
ЧЕРЕЗ РОУТЕРЫ
извини, что? как ты хочешь передать второй уровень по третьему?
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 17:46:46
paradox
наверное я тупой
что
через роутеры?
у вас мак адресса через роутеры передаються?
круто
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-15 18:07:19
arkan
в томто и дело что из тойже подсети
всетаки 250 харь это тоже не мало
Хотя когда работад на ЖД то там именно както это делалось несмотря на клас сети B
но как я уже фиг его знает - вот поэтому и спрашиваю
Кстати программно можно вытащить MAC с удаленного сервера
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 0:24:51
buryanov
Управляемые свичи вам помогут, прописывываете на них привязку порта и MAC
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 5:56:58
arkan
Мне надо собственными средствами IPFW разрулить
а комутаторы провайдерские и половина даже неуправляемые
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 9:01:26
zingel
Жесткая привязка MAC к IP и разруливание спомошью IPFW
глупости, необходимо это делать железом, если делать
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 10:01:28
arkan
zingel писал(а):глупости, необходимо это делать железом, если делать
Глупости выкладывать деньги на железо если это все делается программно
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 11:50:54
bwdude
жесткую привязку mac к ip ты можешь осуществить через статические arp таблицы
мне кажется что Вам будет этого достаточно.
arp -s 87.103.253.66 00:c0:00:75:b3:fa
после этого всё что будет приходить с адреса 87.103.253.66 с другим маком будет отбрасываться.
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 11:57:22
paradox
но что дает такая привязка я так и не понял
если любой школьних из той же сети сам себе может сменить мак адресс
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:09:51
bwdude
paradox писал(а):но что дает такая привязка я так и не понял
если любой школьних из той же сети сам себе может сменить мак адресс
Ну не любой конечно... но некоторые особо одаренные мозгом (или мозгом друга, или коллективным мозгом интернет) могут конечно.
Но в целом это ответ на поставленный в начале вопрос.
Но поскольку подмена мак-адреса не такое уж сложное дело, то нужно усиливать секурность на уровне приложений.
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:28:02
arkan
paradox писал(а):но что дает такая привязка я так и не понял
да просто толи дело перебрать две с половиной сотни IP адресов а толи дело перебрать еще и все MAC адреса из этой подсети
на каждый MAC адрес получается по 250 IP адресов
вот и считай сам сколько вариантов нужно перебрать
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:30:16
paradox
а зачем что то перебирать?
tcpdump дает все что нужно
1)запустил
2)наловил
3)и используй))
под виндой так же есть утилиты для снифинга сети где вылавливаються пары IP/MAC
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:32:43
paradox
скан диапазона айпишников
в таблицу arp там же добавит все эти пары
и после скана
arp -a
видно будет все пары айпи мак
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:34:21
arkan
bwdude писал(а):жесткую привязку mac к ip ты можешь осуществить через статические arp таблицы
мне кажется что Вам будет этого достаточно.
arp -s 87.103.253.66 00:c0:00:75:b3:fa
то что составить таблицу это и так понятно
также все понятно и с
arp_enable="YES"
arp_table="/etc/arp.conf"
но неработает собака
уважаемый
paradox здесь обсуждается как можно осуществить а не для чего это надо
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:35:06
bwdude
arkan писал(а):paradox писал(а):но что дает такая привязка я так и не понял
да просто толи дело перебрать две с половиной сотни IP адресов а толи дело перебрать еще и все MAC адреса из этой подсети
на каждый MAC адрес получается по 250 IP адресов
вот и считай сам сколько вариантов нужно перебрать
получается 250 вариантов.
если при переборе будет записываться у какого IP какой mac, то и вариантов именно 250.
используй все-таки прикладной уровень
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:38:25
arkan
bwdude писал(а):
если при переборе будет записываться у какого IP какой mac, то и вариантов именно 250.
используй все-таки прикладной уровень
нет ксожалению а точнее к счастью получается именно в той сети не 250 вариантов - ну есть там заморочки свои
А под прикладным уровнем что именно имели ввиду ?
Re: Привязка MAC к IP адресу
Добавлено: 2009-10-16 12:41:10
paradox
уважаемый paradox здесь обсуждается как можно осуществить а не для чего это надо
ну хорошо
обсуждайте
не буду мешать