форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Привязка IP к MAC адресу"

Сообщение от auto_tips on 10-Ноя-04, 15:56

Я сделал так (идею тоже нашел на этом сайте): 1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local)              Пример строк из файла:                  192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2                  192.168.0.12 00:0d:88:82:da:a2 #mobil                          и т. д. 2. Написал скрипт такого содержания: (например /etc/static.arp):          #!/bin/sh          # обнуляем всю таблицу arp          arp -ad > null          # к каждому компу в локальной сети привязываем несуществующий (нулевой)                          # MAC адрес          I=1          while [ $I -le 254 ]          do                arp -s 192.168.0.${I} 0:0:0:0:0:0                I=`expr $I + 1`          done          #  к реально существующему компу в сети из базы данных в файле          # /etc/ethers.local  привязываем          #  правильный MAC адрес          arp -f   /etc/ethers.local 3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую     строчку:              /etc/static.arp      Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были      прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет      рассылать широковещательные запросы о локальных MAC адресах, т. к. все они      статически жестко привязаны к ip-адресам. Этим убивается два зайца: не      рассылаются широковещательные запросы, что экономит траффик и время      на ответ сервера, и не позволяет пользователю менять свой ip-адрес,      т. к. сервер все равно пакет будет отправлять на жестко привязанный      MAC адрес. URL: http://www.opennet.ru/openforum/vsluhforumID3/1076.html#18 Обсуждается: http://www.opennet.ru/tips/info/750.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Привязка IP к MAC адресу"

Сообщение от Аноним on 10-Ноя-04, 15:56

Если бы ещё это работало на WinXP и Win2000 :) Что мешает поменять срази И ip-адрес И mac-адрес??? Ответ: НИЧЕГО. Если у пользователя на данных системах есть права на изменение IP-адреса, то и MAC-адрес он так же легко изменит на несколько секунд, даже не перегружая компьютер. Ну отловит arpwatch изменение, когда нет меня на работе, узнаю ПОТОМ об этом. Заблокировать-то этот сеанс он не сможет. Это же не циска или интеллектуальный свитч с привязкой адрес/порт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Раздел полезных советов: Привязка IP к MAC адресу"

Сообщение от Дмитрий Ю. Карпов on 10-Ноя-04, 22:59

А я сделал немного совсем иначе. У меня работал ISC-DHCP с привязкой IP-MAC; так что данные я брал прямо из dhcpd.conf, преобразовывая через grep и sed. Из того же dhcpd.conf я делал DNS-зоны (прямую и реверсную) для раб.станций.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Раздел полезных советов: Привязка IP к MAC адресу"
	Сообщение от Yurik (??) on 13-Ноя-04, 00:32
	Ну и толку что там у Вас на сервере. Я как клиент ставлю себе чужой IP+MAC вручную и работаю от чужого имени независимо от наличия DHCP сервера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Привязка IP к MAC адресу"

Сообщение от lb on 11-Ноя-04, 00:15

если уж dhcp, то брать из leases

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Привязка IP к MAC адресу"

Сообщение от lesha (??) on 11-Ноя-04, 14:21

зачем такие сложности? arp -f /etc/ethers

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Привязка IP к MAC адресу"

Сообщение от solaris (??) on 16-Ноя-04, 00:13

Эм... Мониторить юзера меняющего МАС можно по разному. Ничего не мешает ему его сменить. Согласен. И вычислить это тяжело. Определяется это только косвенным путем. Можно отловить на том, что он забыл поменять имя компа, тогда при выводе статы arp выдаст подмену (если ранее велись логи arp). Можно поймать на коннекте к известному внутреннему серверу ника с другого IP. В общем, если они нас обманывают, то и мы должны поступать также! ;) А еще можно поставить на мониторинг весь arp траффик и смотреть (анализируя логи) в случае обращения о подмене и краже $$$ сначала на логи сессий биллинга (надо же узнать когда инет был украден), а потом и на arp базу. Там сделать запрос по времени и посмотреть кого из МАСов небыло ;) Для реализации последнего нужно всего лищи сбрасывать ARP траф в БД. Кто как конкретно делать будет я не знаю, но нечто подобное я организовал у себя в сетке. Знаете, помогает, что самое интересное :) -------------------------------- А по поводу статьи... Она более подходит для улучшения уровня безопастности, например, маршрутизатора, который не должен отвечать на запросы посторонних, а должен только перебрасывать  трафик от одного такого же роутера к другому. Это ИМХО...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Привязка IP к MAC адресу"

Сообщение от XoRe (??) on 20-Ноя-04, 10:38

Привязка ip адреса к мак адресу не является препятствием для человека, которому нужно поменять себе ip адрес в сети. По этому она _может_ служить _дополнением_ к авторизации по логину+паролю. А реализована она может быть хоть на sh, С, хоть на Ассемблере.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Привязка IP к MAC адресу"

Сообщение от Barsuk (??) on 23-Ноя-04, 22:42

На одном форуме нашел вот такое решение: ---------------- Цитата: Небольшое письмо от Romana Y. Bogdanova: ... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины. Вот кусок из ifconfig: staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests. -staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies. поподробнее можно? ------------------------- vi /etc/rc.conf ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым: #!/bin/sh arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya arp -s 192.168.1.3 11:11:11:11:11:11 # Petya После этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp. В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila. ----------- Чем это принципиально отличается от сабжа?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Привязка IP к MAC адресу"
	Сообщение от Yurik (??) on 24-Ноя-04, 00:11
	>На одном форуме нашел вот такое решение: >Чем это принципиально отличается от сабжа? Яйца - вид сбоку :-))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Привязка IP к MAC адресу"

Сообщение от godegisel on 03-Дек-04, 17:36

вот это забавно: arp -ad > null

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Привязка IP к MAC адресу"

Сообщение от Lelik (??) on 21-Дек-04, 06:32

Может быть не совесм по теме, но вопрос такй: большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать от виича вручную!!! Но это же ... Ну в общем понятно что не катит. На серваке работает DHCP, но это никак не помешает поставить ИП руками. Предложеным вами методо можно блокировать доступ к серверу, но к шарам юзверей доступ то останется. Как быть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Привязка IP к MAC адресу"
	Сообщение от Yurik (??) on 21-Дек-04, 22:14
	>Может быть не совесм по теме, но вопрос такй: >большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые >свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать >неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать >от виича вручную!!! Но это же ... Ну в общем понятно другого метода не существует. если данные гоняются только на физическом уровне (кабеля), то и отрубать можно только на физическом. если лень ходить пешком к свичам сделайте какой-нить самодельный комутатор, можно смастерить на реле и управлять набором DTMF сигналов разной частоты используя свободную пару проводов в кабеле который идёт к вашему офису (каждому юзеру присвоить частоту НЧ сигнала) или возможно проще простешее пересчётное устройство (K155ИД3) которое управляет усилителями тока на транзисторах для реле. В любом случае стоимость одного такого комутатора на 8 портов будет в пределах $20.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Привязка IP к MAC адресу"
	Сообщение от tin (??) on 24-Янв-05, 16:20
	>>Может быть не совесм по теме, но вопрос такй: >>большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые >>свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать >>неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать >>от виича вручную!!! Но это же ... Ну в общем понятно Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как что-то получится - расскажу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Привязка IP к MAC адресу"
	Сообщение от Maxim (??) on 13-Фев-05, 16:46
	>Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как >что-то получится - расскажу. ну выдашь ты им неправильные пары. это ничего не изменит. если хакар, то он поменяет ПАРУ IP+MAC. И Твоя замена останется тебе. Если он начинающий, то он не сможет только смотреть ресурсы на сервере. и все. вся остальная сеть ему доступна.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Привязка IP к MAC адресу"
	Сообщение от Леха on 27-Апр-05, 14:00
	Вообще странный подход к проблеме -когда пользователи подключаются к ДС они  платят как правило баксов 50( стоимость порта в свитче,кабеля,плюс его прокладка итд) логично предположить что пользователь может легко заявить права на уже уплаченное. стало быть внутрисетевые шары для него бесплатны,а интернет платен вот и вся логика,а руководствоваться жадными помыслами своими -не есть гуд.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Раздел полезных советов: Привязка IP к MAC адресу"

Сообщение от vizard (??) on 15-Фев-05, 13:16

А можно сначала: какая задача решается таким способом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Раздел полезных советов: Привязка IP к MAC адресу"
	Сообщение от Susanin_ (??) on 13-Мрт-05, 23:39
	Я сделал так: 2 типа предоставляемых ресурсов в ДС:   - Инет   - Локал У каждого абонента есть доступ к странице с билингом - где он может (должен) блокировать/разблокировать свою учетную запись при окончании/начале работы. Эта блокировка ведет к добавлению его ip в писок доступных Iptables шлюза (через выполнение скрипта). Локал пока бесплатна, но можно и перед ней поставить шлюз и через тот-же скрипт определять список разрешенных IP. Таким образом вся отвественность за то, что кто-то может подменить ip и сходить в инет за счет честного абонента лежит как раз на совести этого честного абонента. Не заблокировал за собой запись - сам виноват. Как дверь домой не закрыл. Стоит тока один раз пройтись кому-то по чужим учетным записям - как сразу все начинают прислушиваться к этим правилам. И не надо никакого гемора с отлавливанием хакеров... Спасение утопающего - дело рук самого утопающего! :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Привязка IP к MAC адресу"

Сообщение от iddqt on 26-Май-05, 05:25

Технически на 100% данная проблема НЕ РЕШАЕМА. Обеспечение безопасности решается оргмерами: закрытие неиспользуемых портов на свитчах, охрана производственных помещений. Не должно быть ни одной пары, розетки или порта, доступного несанкционированным образом. И все равно это не 100%!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Привязка IP к MAC адресу"

Сообщение от comprat on 15-Июл-05, 14:16

не страдайте. найкращий варіант використовувати РРРоЕ. заборгував юзер - забанив акаунт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Привязка IP к MAC адресу"

Сообщение от myllgpa (ok) on 11-Авг-05, 17:00

Меня данная проблема мучает уже два года. Умный свич проблему не решает народ атакует его буфер.Да и дорогое это удовольствие если сеть большая.PPPoE или программы типа 'stargazer' для ДС более приземленные варианты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Привязка IP к MAC адресу"
	Сообщение от Ph on 24-Сен-05, 01:54
	1)Умные свитчи при атаке на порт умеют его отключать. 2)Умные свитчи - от 500 у.е за 24 порта.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Привязка IP к MAC адресу"
	Сообщение от рьв on 23-Ноя-05, 18:36
	Кто или что мешает VPN использовать ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Привязка IP к MAC адресу"
	Сообщение от Andrew S. Nurulin on 06-Дек-05, 16:25
	А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? У меня как раз такой сервер, только что озадачился этим вопросом...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Привязка IP к MAC адресу"
	Сообщение от key (??) on 08-Дек-05, 13:34
	>А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? >У меня как раз такой сервер, только что озадачился этим вопросом... > А как можно защитить несанкционированный доступ к  квартире в случае кражи ключа? Точно также-не давать возможность его украсть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Привязка IP к MAC адресу"

Сообщение от brag on 28-Янв-07, 15:01

Проще всего не трахацца,а переписать с нуля имплемент арпа,чтобы кормить ему файлик с маками и айпишками.посути без поддержки арпа,как такового.жесто ядру дал таблицу и все

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Привязка IP к MAC адресу"

Сообщение от DELit on 01-Мрт-07, 12:02

Я сделал так, создал скрипт /usr/local/etc/rc.d/arptable.sh (шаблонно переписав существующий): #!/bin/sh # # PROVIDE: arptable # REQUIRE: NETWORKING SERVERS # KEYWORD: arptable # # NOTE: set arptable_enable="YES" in /etc/rc.conf to enable this # name=arptable command="/usr/sbin/arp" start_cmd="arptable_start" stop_cmd="arptable_stop" arptable_enable=${arptable_enable:-"NO"} arptable_config=${arptable_config:-"/etc/arptable.conf"} arptable_stop() {         $command -ad } arptable_start() {         $command -f $arptable_config } . /etc/rc.subr rcvar=`set_rcvar` load_rc_config ${name} run_rc_command "$1" после этого в /etc/arptable.conf прописал IP и MAC-адреса в форме: 10.11.109.1    00:00:00:00:00:00    pub 10.11.109.53    00:00:00:00:00:00    pub (немного поработав, можно было бы избавиться от необходимости писать pub в конце строки, но, поскольку sed рулит, то проблемы тут нет) После этих манипуляций в /etc/rc.conf можно вписать arptable_enable="YES" # включить таблицу соответствия IP-MAC arptable_config="/etc/arptable.conf" # откуда берем конфиг. Работает без проблем. И вживляется в систему чисто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Привязка IP к MAC адресу"
	Сообщение от brag (??) on 13-Июн-07, 16:00
	Фигня эти все привязки. меняется за считаные секунды, даже на винде. я лично юзаю squid с аутентикацией и ssl. практикую и vpn каждому юзеру,тоже неплохо. Надежно и до лампочки все снифферы итп
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Привязка IP к MAC адресу"

Сообщение от Folder on 28-Авг-08, 18:37

Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Я использую привязку, но при подключении нового клиента, MAC которого еще не известен, возникает проблема доступа его машины к шлюзу. Может есть что-то вроде arp –s 192.168.0.1 any :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Привязка IP к MAC адресу"
	Сообщение от Yurik (??) on 29-Авг-08, 00:49
	>Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Не задавать для этого IP >Я использую привязку, но при подключении нового клиента, MAC которого еще >не известен, возникает проблема доступа его машины к шлюзу. Это очевидно потому, что вы в цикле сделали для всего диапазона привязку к несуществующему адресу for ((  i = 1 ;  i < 255;  i++  )) do   arp -s 192.168.0.$i FF:FF:FF:FF:FF:FF done > Может есть что-то вроде arp –s 192.168.0.1 any :) да, arp -d 192.168.0.1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Привязка IP к MAC адресу"
	Сообщение от poBEDA (ok) on 02-Апр-09, 03:08
	Доброй ночи! Может быть я и ошибся темой, но для меня очень актуальна такая проблема: кто-то ворует траффик на интернет, воруя МАК-адрес, при этом называет компьютер типа ВОРМ или Троян, айпи не меняет. Живу в общежитии. У нас несколько групп безлимитного интернета. Моя группа имеет диапазон адресов от 192.168.10.150(роутер) до 192.168.10.175. Соответственно удивлен был, когда интерес роутера (D-Link DIR-120) обнаружил некого(ую) 192.168.10.189. Через коммандер и команду арп вычислил, что у 189 и у 175 из моей группы один и тот же МАК-адрес. Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора. Вопрос: 1) можно ли как-то с этим бороться? 2) поможет ли привязка мака к айпи от воровства траффика (просто человек сразу грузит торренты и забивает канал, который рассчитан на 24 человека). Заранее благодарен и прошу прощения, если не там написал сообщение.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Привязка IP к MAC адресу"
	Сообщение от Yurik (??) on 02-Апр-09, 04:36
	>1) можно ли как-то с этим бороться? Можно управляемыми свичами, которые позволяют на физический порт програмировать условия фильтрации (по МАС или диапазону МАС например) >2) поможет ли привязка мака к айпи от воровства траффика (просто человек >сразу грузит торренты и забивает канал, который рассчитан на 24 человека). Не поможет. > Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора. Не все же 100 ПК включены в один свич, отключение целого сегмента резко сужает круг поиска. Вычислить вора можно не более чем за ~10 отключений. Но вообще идея аутентификации для доступа в инет через МАС-и нелепа, для этого есть PPPoE или VPN
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Привязка IP к MAC адресу"
	Сообщение от poBEDA (ok) on 02-Апр-09, 13:29
	Сегментами - это вариант, но сегодня я его вижу наиболее геморойным, так как проблемы доступа к свитчам, поэтому я его оставляю заранее на конец. Можно ли сделать аутентификацию через PPPoE или VPN, используя роутер D-Link DIR-120? Если да, как это можно сделать? П.С. Если пользуешься асей, стукни плиз, если не сложно. 239219697.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]