OpenNET: статья - Привязка IP к MAC адресу (bsd arp filter mac ethernet)

Привязка IP к MAC адресу (bsd arp filter mac ethernet)


<< Предыдущая	ИНДЕКС	Поиск в статьях	src	Установить закладку	Перейти на закладку	Следующая >>

Ключевые слова: bsd, arp, filter, mac, ethernet,  (найти похожие документы)

Subject: Привязка IP к MAC адресу

> В нашей сети пользователи повадились самостоятельно менять себе IP адерса.
> Хотят обмануть систему учета трафика и качать нахаляву или за счет соседа.
> Как привязать IP к определенной сетевой карте и запретить выход в сеть 
> некоторым машинам ? Рутер под FreeBSD.


# Очищаем ARP
/usr/sbin/arp -d -a
# Разрешаем работу только с хостов c списанными MAC адресами.
/usr/sbin/arp -s 192.168.1.1 0:92:37:91:12:a3 pub
# Запрещаем присвоение свободных IP.
/usr/sbin/arp -s 192.168.1.2 0:0:0:0:0:0 pub


<< Предыдущая	ИНДЕКС	Поиск в статьях	src	Установить закладку	Перейти на закладку	Следующая >>

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Alex, 18:07, 01/10/2002 [ответить] [смотреть все]	+/–
Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek 8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?

2.2, Горник, 21:45, 01/10/2002 [^] [ответить] [смотреть все] [показать ветку]	+/–
Убираем хабы и ставим везде свичи с возможностью фильтрации MAC адресов Для каж... весь текст скрыт [показать] [показать ветку]

2.14, вандал, 16:30, 23/04/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
написано Алексом от 01 окт 02 18 07 отправь на мыло как это сделать и как узнать... весь текст скрыт [показать] [показать ветку]

3.17, Сергей, 19:46, 09/10/2004 [^] [ответить] [смотреть все]	+/–
Слушай,раскажи как можно сменить MAC У меня карта такаяже ... весь текст скрыт [показать]

2.15, вандал, 16:31, 23/04/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
написано Алексом от 01 окт 02 18 07 отправь на мыло как это сделать и как узнать... весь текст скрыт [показать] [показать ветку]

1.3, Evgeniy, 02:51, 16/03/2003 [ответить] [смотреть все]	+/–
А можно как нибудь запретить неупровляемому СВИТЧУ изменять таблицу МАС адресов????? Какая микросхема в свитче отвечяет за запись МАС адресов????

1.4, Tressa, 13:04, 06/06/2003 [ответить] [смотреть все]	+/–
А если HPNA (1,2) а не свичи?

1.5, Dmitry, 10:02, 10/06/2003 [ответить] [смотреть все]	+/–
Данную проблему решил собственно так: в БД загнал все ip и связанные с ними mac, затем правила для каждого хоста. Написал на перле скрипт который из бд создает правила для фаервола,первым правилом стоит проверка ip в связке с mac. Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для данного хоста... Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол просто не пустит. А на счет смены mac, так только выручать вумные свичи...

2.6, SergeS, 20:39, 13/06/2003 [^] [ответить] [смотреть все] [показать ветку]	+/–
мой 3сom 4400 похоже этого не умеет а пример можешь выслать Я просто ищу при... весь текст скрыт [показать] [показать ветку]

2.7, mic, 07:09, 07/08/2003 [^] [ответить] [смотреть все] [показать ветку]	+/–
У меня такаяже проблема встала Юзера ходят через сквид, но вот захотели и почту... весь текст скрыт [показать] [показать ветку]

2.8, Fduch, 14:11, 22/08/2003 [^] [ответить] [смотреть все] [показать ветку]	+/–
Не понял я а что мешает мне сменить мак вместе с ИП Ставлю на своей машине т... весь текст скрыт [показать] [показать ветку]

2.18, Krigs, 04:21, 02/11/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
Привет, прочел Вашу заметку на opennet ru Не обязательно писать на перле скрипт ... весь текст скрыт [показать] [показать ветку]

1.9, Az, 16:23, 17/09/2003 [ответить] [смотреть все]	+/–
pppoe ставь и не парься

2.10, Devil, 14:37, 12/11/2003 [^] [ответить] [смотреть все] [показать ветку]	+/–
А вот на этом месте поподробней ... весь текст скрыт [показать] [показать ветку]

1.11, macarena, 16:31, 22/01/2004 [ответить] [смотреть все]	+/–
можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно будет на всех??

2.12, dmitry, 08:06, 23/01/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
>можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно >будет на всех?? имеется ввиду, что поставить связку на две пары Ip+mac, а остальные чтобы динамически не добавлялись? Если так, то можно на все остальные ip прописать связку на mac 00:00:00:00:00:00 или просто утановить политику по умолчанию DROP, а на первые два ip ACCEPT + проверку ip+mac.

1.13, KBAKEP, 21:05, 20/02/2004 [ответить] [смотреть все]	+/–
А почему pub, а не permanent?

1.16, Igoris Iseberg, 02:21, 04/06/2004 [ответить] [смотреть все]	+/–
Я думаю, что эту проблему можно решить так (хотя, если учитывать возможность замены МАС адреса, это все-таки половинчатое решение) 1. В firewall прописываем все! возможные (даже в данный момент несуществующие) ip адреса сети и указываем на них необходимые pipe или deny. 2.В программе учета траффика учитываем эти несуществующие ip-адреса, это даст возможность отлова несанкционираванных подключений по ip-адресу 2. В /etc/hosts ip-адреса привязываем к именам хостов. 3. Создаем файл, напр. /etc/filename, в котором привязываем имена хостов к МАС адресам (формат файла: hostname MAC_addr Несуществующим машинам присваиваем произвольные (несуществующие) МАС адреса. 4. Запускаем arp с ключом -f: arp -f /etc/filename

2.19, Axel, 19:40, 23/11/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
Конечно выход, но блин если у тебя несколько подсетей то это сколько же нужно сидеть пописывать

2.20, grok, 06:10, 01/12/2004 [^] [ответить] [смотреть все] [показать ветку]	+/–
А вот как заставить netbios-имена клиентов соответствовать именам в /etc/filename? Ведь очень часто пользователи происзвольно меняют имена машин. Ставить самбу с nmbd?

1.21, light, 10:44, 03/03/2005 [ответить] [смотреть все]	+/–
а есть какой нить вариант для рутера на винде? сеть маленькая, но умники, меняющие ипы тоже имеются может какая нибуть сторонняя програмка есть?

2.22, Dmitry, 14:56, 03/03/2005 [^] [ответить] [смотреть все] [показать ветку]	+/–
>а есть какой нить вариант для рутера на винде? >сеть маленькая, но умники, меняющие ипы тоже имеются > >может какая нибуть сторонняя програмка есть? В windows 2003 server, есть arp.exe - жесткая привязка мак к ип. arp /? - и там всё интуитивно понятно.

1.23, light, 08:25, 06/03/2005 [ответить] [смотреть все]	+/–
просто в 2000 серв такое тоже есть, но работать не захотело... не обязано?

2.24, Dmitry, 15:17, 28/03/2005 [^] [ответить] [смотреть все] [показать ветку]	+/–
>просто в 2000 серв такое тоже есть, но работать не захотело... не >обязано? нет

1.25, light, 19:40, 28/03/2005 [ответить] [смотреть все]

проверил на 2003 серв... аналогично.. работать не захотело ))

пускает как ип с другим маком, так и мак с другим ипом...

мож в 2003 как на фре есть какиенить "опции ядра" ? )))
(фантастика)

Ваш комментарий

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

Оформить подписку на год

Закладки на сайте
Проследить за страницей

Created 1996-2012 by Maxim Chirkov
Добавить, Реклама, Вебмастеру, ГИД