URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3109
[ Назад ]

Исходное сообщение
"Привязка IP адреса в Линуксе"

Отправлено sn , 15-Янв-07 11:41 
Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе. интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один из пользователей поставил себе этот адрес. в результате линукс стал ругаться, что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор не поддерживает. как заставить линукс не смотреть используется адрес или нет?

Содержание

Сообщения в этом обсуждении
"Привязка IP адреса в Линуксе"
Отправлено ncp , 19-Янв-07 17:55 
>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>


Дык не должно такого быть! Как это - два хоста с одинаковыми ip?


"Привязка IP адреса в Линуксе"
Отправлено sn , 22-Янв-07 08:42 
>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>
>
>
>Дык не должно такого быть! Как это - два хоста с одинаковыми
>ip?

Ну и что делать в таких случаях? Каждый раз искать умника и давать ему по башке?


"Привязка IP адреса в Линуксе"
Отправлено ncp , 22-Янв-07 11:59 
>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>
>>
>>
>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>ip?
>
>Ну и что делать в таких случаях? Каждый раз искать умника и
>давать ему по башке?


Ну да. Если ты держишь сервер - значит ты админ. Ты и должен контролировать раздачу ip адресов в твоей сети.

Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех юзеров, но зато вряд ли кто-то назначит себе такой ip.

Третий вариант - DHCP


"Привязка IP адреса в Линуксе"
Отправлено sn , 22-Янв-07 14:08 
>>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>>
>>>
>>>
>>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>>ip?
>>
>>Ну и что делать в таких случаях? Каждый раз искать умника и
>>давать ему по башке?
>
>
>Ну да. Если ты держишь сервер - значит ты админ. Ты и
>должен контролировать раздачу ip адресов в твоей сети.
>
>Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех
>юзеров, но зато вряд ли кто-то назначит себе такой ip.
>
>Третий вариант - DHCP
1 или 254 какая разница?
DHCP и так есть... А как сделать чтобы Линукс не смотрел какие адреса используются. И как этому умнику удалось в винде адрес, который уже используется, поставить. Кривой выход из данной ситуации я уже придумал: назначу еще один адрес 192.168.1.10 на этот же интерфейс и буду давать его по dhcp как второй шлюз.

"Привязка IP адреса в Линуксе"
Отправлено ncp , 22-Янв-07 17:24 
>>>>>Домовая сетка. в центре коммутатор второго уровня. шлюз в интернет на линуксе.
>>>>>интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>>>>>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>>>>>что адрес используется и уронил интерфейс. привязку мак-айпи и айпи-порт коммутатор
>>>>>не поддерживает. как заставить линукс не смотреть используется адрес или нет?
>>>>>
>>>>
>>>>
>>>>Дык не должно такого быть! Как это - два хоста с одинаковыми
>>>>ip?
>>>
>>>Ну и что делать в таких случаях? Каждый раз искать умника и
>>>давать ему по башке?
>>
>>
>>Ну да. Если ты держишь сервер - значит ты админ. Ты и
>>должен контролировать раздачу ip адресов в твоей сети.
>>
>>Ну или назначь серверу ip 192.168.1.254, тогда придется поменять настройки у всех
>>юзеров, но зато вряд ли кто-то назначит себе такой ip.
>>
>>Третий вариант - DHCP
>1 или 254 какая разница?
>DHCP и так есть... А как сделать чтобы Линукс не смотрел какие
>адреса используются. И как этому умнику удалось в винде адрес, который
>уже используется, поставить. Кривой выход из данной ситуации я уже придумал:
>назначу еще один адрес 192.168.1.10 на этот же интерфейс и буду
>давать его по dhcp как второй шлюз.

Странно, как это у него получилось не понятно. Так получается, что DHCP криво настроен? Почему он выдает 2 одинаковых ай пи?


"Привязка IP адреса в Линуксе"
Отправлено sn , 23-Янв-07 08:42 
>Странно, как это у него получилось не понятно. Так получается, что DHCP
>криво настроен? Почему он выдает 2 одинаковых ай пи?


Парень, ты что, в танке? Какие одинаковые айпи?


"Привязка IP адреса в Линуксе"
Отправлено ncp , 23-Янв-07 12:45 
>>Странно, как это у него получилось не понятно. Так получается, что DHCP
>>криво настроен? Почему он выдает 2 одинаковых ай пи?
>
>
>Парень, ты что, в танке? Какие одинаковые айпи?


Цитата. "интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один из пользователей поставил себе этот адрес. в результате линукс стал ругаться, что адрес используется и уронил интерфейс."

А это что по твоему?


"Привязка IP адреса в Линуксе"
Отправлено sn , 23-Янв-07 13:58 
>>>криво настроен? Почему он выдает 2 одинаковых ай пи?
>>
>>
>>Парень, ты что, в танке? Какие одинаковые айпи?
>
>
>Цитата. "интерфейс с адресом 192.168.1.1 смотрит в локалку. случилась такая вещь: один
>из пользователей поставил себе этот адрес. в результате линукс стал ругаться,
>что адрес используется и уронил интерфейс."
>
>А это что по твоему?

Кто выдает одинаковые айпи? Где про это написано? Похоже пустой флейм пошел.
Решение какое-нибудь красивое и умное подскажите.



"Привязка IP адреса в Линуксе"
Отправлено s2 , 31-Янв-07 16:37 
>Решение какое-нибудь красивое и умное подскажите.
man man
man arp


"Привязка IP адреса в Линуксе"
Отправлено m12051 , 24-Фев-07 14:23 
>>Решение какое-нибудь красивое и умное подскажите.

запретить использовать статику для юзверов раз и навсегда!!!
а пакеты пришедшие с непотребного адреса просто убивать...


"Привязка IP адреса в Линуксе"
Отправлено coyote , 25-Апр-07 11:35 
>>>Решение какое-нибудь красивое и умное подскажите.
>
>запретить использовать статику для юзверов раз и навсегда!!!

это каким образом? методом методичных избиений?

>а пакеты пришедшие с непотребного адреса просто убивать...

технологию не предложите? где в пакете написано что он выдан по dhcp или поставлен руками?

расскажите человеку про static arp и не надо шума про то, над чем вы невластны.


"Привязка IP адреса в Линуксе"
Отправлено PS , 27-Фев-07 14:58 

>Странно, как это у него получилось не понятно. Так получается, что DHCP
>криво настроен? Почему он выдает 2 одинаковых ай пи?
Кабель выдернул, да поставил IP себе, потом опять воткнул....

Надо как то на arp уровне организовать, чтобы на все arp запросы для этого IP выдавался MAC - твой шлюз, тогда этот умник в тишине сидеть будет.


"Привязка IP адреса в Линуксе"
Отправлено pavel_simple , 26-Фев-07 23:23 
неверю что винда у линукс/фрибсд перехватывает айпишник-- чудеса да и только.
выдавай почаще в сеть широковещательный arp -- тогда все буут знать что 192.168.1.1 это ты.

а умнику dos по arp адресу -- если там действительно винда -- 2 мин хватит (с этим конечно нужно быть крайне осмотрительно)


"Привязка IP адреса в Линуксе"
Отправлено coyote , 25-Апр-07 11:36 
>неверю что винда у линукс/фрибсд перехватывает айпишник-- чудеса да и только.
>выдавай почаще в сеть широковещательный arp -- тогда все буут знать что
>192.168.1.1 это ты.

скажи как :-) arpd? советуйте предметно. вопрос-то конкретный

>
>а умнику dos по arp адресу -- если там действительно винда --
>2 мин хватит (с этим конечно нужно быть крайне осмотрительно)

это лишнее


"Привязка IP адреса в Линуксе"
Отправлено William , 27-Фев-07 11:41 
Не знаю, ка кнасчет Линуха, я на FreeBSD заморозил все так:
Включить фильтрацию по layer2 в ipfw
sysctl -w net.link.ether.ipfw=1

Запретить все для подсети
ipfw add 62999 deny ip from 192.168.20.0/24 to any layer2 in via em1

Разрешить для определенного IP с указанного MAC
ipfw add 62073 allow ip from 192.168.20.73 to 192.168.0.0/16 MAC any 00:17:9a:6d:0e:94 via em1

ЗюЫipfw add 62073 allow ip from 192.168.20.73 to "table(1)" MAC any 00:17:9a:6d:0e:94 via em1

P.S. При net.link.ether.ipfw=1 пакет по правилам пробегает 2 раза, поэтому, если учет трафика решается средствами IPFW, используйте skipto:
ipfw add 1 skipto 61000 ip from any to any layer2


"Привязка IP адреса в Линуксе"
Отправлено pavel_simple , 27-Фев-07 12:55 
хм...
прикольно, фильтрация по mac адресу, вот интересно как в данном случае она поможет доброборядочному пользователю выйти в интернет, на свичах кэш чаще всего "видит" совершенно неправильную привязку ip/mac у соответственно пакетик он отправит не по адресу. Сидит какой нибудь дятел, поставил себе айпишник маршрута по умолчанию, а все его соседи тчетно пытаются выйти в инет.

"Привязка IP адреса в Линуксе"
Отправлено William , 27-Фев-07 13:59 
>на свичах кэш чаще всего
>"видит" совершенно неправильную привязку ip/mac
С чего это вдруг неправильную?

Да... я согласен, что данный пример больше подходит для случая, когда необходимо запретить пользователю использовать адрес "соседа". +В данном случае рекомендую (т.к. коммутатор 2-го уровня) привязать mac к порту.
Если какой-то умник назначит себе адрес шлюза, то настроенный указанным образом файрвол не будет его видеть (т.к. маки не совпадают) и система не должна будет ругаться, что кто-то использует адрес шлюза... В теории... ;)
А вот что будет твориться у абонентов...


"Привязка IP адреса в Линуксе"
Отправлено reekoff , 03-Апр-07 10:19 
>Не знаю, ка кнасчет Линуха, я на FreeBSD заморозил все так:
>Включить фильтрацию по layer2 в ipfw
>sysctl -w net.link.ether.ipfw=1
>
>Запретить все для подсети
>ipfw add 62999 deny ip from 192.168.20.0/24 to any layer2 in via
>em1
>
>Разрешить для определенного IP с указанного MAC
>ipfw add 62073 allow ip from 192.168.20.73 to 192.168.0.0/16 MAC any 00:17:9a:6d:0e:94
>via em1
>
>ЗюЫipfw add 62073 allow ip from 192.168.20.73 to "table(1)" MAC any 00:17:9a:6d:0e:94
>via em1
>
>P.S. При net.link.ether.ipfw=1 пакет по правилам пробегает 2 раза, поэтому, если учет
>трафика решается средствами IPFW, используйте skipto:
>ipfw add 1 skipto 61000 ip from any to any layer2


em1 - это внутренний?


"Привязка IP адреса в Линуксе"
Отправлено William , 03-Апр-07 11:16 
>em1 - это внутренний?

# ifconfig em1
em1: flags=18843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=5b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING>
        inet 192.168.20.2 netmask 0xffffff00 broadcast 192.168.20.255
Соотв-но смотрит внутрь


"Переформулируем: static arp в линуксе и у клиентов"
Отправлено coyote , 25-Апр-07 11:46 
>не поддерживает. как заставить линукс не смотреть используется адрес или нет?

Значит я тебе скажу что нужно сделать, а опытные в линуксах товарисчи подскажут как.

Итак, на сервере: arp статический, т.е. при старте ручками пары IP/MAC вгоняются "в кэш" и сидят там до победного конца. dhcp надеюсь УЖЕ выдаёт ip по MAC-у?

на клиентах - arp static. как организовать автоматически - х.е.з. может батник при старте с сервера запускать.

при такой схеме проблема "не тот ip" проблема сугубо данного раззвездяя (злоумышленника?)
по dhcp arp-у вроде как ничего передать нельзя :(

зы а воообще конечно красота железки умные втыкать. тока деньги...