The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Привязка IP к MAC адресу
Я сделал так (идею тоже нашел на этом сайте):

1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local)
             Пример строк из файла:
                 192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2
                 192.168.0.12 00:0d:88:82:da:a2 #mobil
                         и т. д.
2. Написал скрипт такого содержания: (например /etc/static.arp):

         #!/bin/sh
         # обнуляем всю таблицу arp
         arp -ad > null
         # к каждому компу в локальной сети привязываем несуществующий (нулевой)                
         # MAC адрес
         I=1
         while [ $I -le 254 ]
         do
               arp -s 192.168.0.${I} 0:0:0:0:0:0
               I=`expr $I + 1`
         done
         #  к реально существующему компу в сети из базы данных в файле
         # /etc/ethers.local  привязываем
         #  правильный MAC адрес
         arp -f   /etc/ethers.local

3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую
    строчку:

             /etc/static.arp

     Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были
     прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет
     рассылать широковещательные запросы о локальных MAC адресах, т. к. все они
     статически жестко привязаны к ip-адресам. Этим убивается два зайца: не
     рассылаются широковещательные запросы, что экономит траффик и время
     на ответ сервера, и не позволяет пользователю менять свой ip-адрес,
     т. к. сервер все равно пакет будет отправлять на жестко привязанный
     MAC адрес.
 
10.11.2004 , Автор: Krigs , Источник: http://www.opennet.ru/openforum/vsl...
Ключи: mac, arp, limit / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Ethernet, ARP, привязка MAC адресов.

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним, 15:56, 10/11/2004 [ответить] [смотреть все]
  • +/
    Если бы ещё это работало на WinXP и Win2000 Что мешает поменять срази И ip-ад... весь текст скрыт [показать]
     
  • 1.2, Дмитрий Ю. Карпов, 22:59, 10/11/2004 [ответить] [смотреть все]  
  • +/
    А я сделал немного совсем иначе. У меня работал ISC-DHCP с привязкой IP-MAC; так что данные я брал прямо из dhcpd.conf, преобразовывая через grep и sed. Из того же dhcpd.conf я делал DNS-зоны (прямую и реверсную) для раб.станций.
     
     
  • 2.5, Yurik, 00:32, 13/11/2004 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну и толку что там у Вас на сервере Я как клиент ставлю себе чужой IP MAC вручн... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, lb, 00:15, 11/11/2004 [ответить] [смотреть все]  
  • +/
    если уж dhcp, то брать из leases
     
  • 1.4, lesha, 14:21, 11/11/2004 [ответить] [смотреть все]  
  • +/
    зачем такие сложности?

    arp -f /etc/ethers

     
  • 1.6, solaris, 00:13, 16/11/2004 [ответить] [смотреть все]  
  • +/
    Эм Мониторить юзера меняющего МАС можно по разному Ничего не мешает ему его ... весь текст скрыт [показать]
     
  • 1.7, XoRe, 10:38, 20/11/2004 [ответить] [смотреть все]  
  • +/
    Привязка ip адреса к мак адресу не является препятствием для человека, которому нужно поменять себе ip адрес в сети.
    По этому она _может_ служить _дополнением_ к авторизации по логину+паролю.

    А реализована она может быть хоть на sh, С, хоть на Ассемблере.

     
  • 1.8, Barsuk, 22:42, 23/11/2004 [ответить] [смотреть все]  
  • +/
    На одном форуме нашел вот такое решение ---------------- Цитата Небольшое пис... весь текст скрыт [показать]
     
     
  • 2.9, Yurik, 00:11, 24/11/2004 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Яйца - вид сбоку - ... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, godegisel, 17:36, 03/12/2004 [ответить] [смотреть все]  
  • +/
    вот это забавно:
    arp -ad > null
     
  • 1.11, Lelik, 06:32, 21/12/2004 [ответить] [смотреть все]  
  • +/
    Может быть не совесм по теме, но вопрос такй:
    большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать от виича вручную!!! Но это же ... Ну в общем понятно что не катит.
    На серваке работает DHCP, но это никак не помешает поставить ИП руками.
    Предложеным вами методо можно блокировать доступ к серверу, но к шарам юзверей доступ то останется.
    Как быть?
     
     
  • 2.12, Yurik, 22:14, 21/12/2004 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    другого метода не существует если данные гоняются только на физическом уровне ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, tin, 16:20, 24/01/2005 [^] [ответить] [смотреть все]  
  • +/
    Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплате... весь текст скрыт [показать]
     
     
  • 4.14, Maxim, 16:46, 13/02/2005 [^] [ответить] [смотреть все]  
  • +/
    ну выдашь ты им неправильные пары это ничего не изменит если хакар, то он поме... весь текст скрыт [показать]
     
     
  • 5.17, Леха, 14:00, 27/04/2005 [^] [ответить] [смотреть все]  
  • +/
    Вообще странный подход к проблеме -когда пользователи подключаются к ДС они пла... весь текст скрыт [показать]
     
  • 1.15, vizard, 13:16, 15/02/2005 [ответить] [смотреть все]  
  • +/
    А можно сначала: какая задача решается таким способом?
     
     
  • 2.16, Susanin_, 23:39, 13/03/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я сделал так 2 типа предоставляемых ресурсов в ДС - Инет - Локал У каждого... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, iddqt, 05:25, 26/05/2005 [ответить] [смотреть все]  
  • +/
    Технически на 100% данная проблема НЕ РЕШАЕМА.
    Обеспечение безопасности решается оргмерами: закрытие неиспользуемых портов на свитчах, охрана производственных помещений. Не должно быть ни одной пары, розетки или порта, доступного несанкционированным образом. И все равно это не 100%!
     
  • 1.19, comprat, 14:16, 15/07/2005 [ответить] [смотреть все]  
  • +/
    не страдайте. найкращий варіант використовувати РРРоЕ. заборгував юзер - забанив акаунт.
     
  • 1.20, myllgpa, 17:00, 11/08/2005 [ответить] [смотреть все]  
  • +/
    Меня данная проблема мучает уже два года.
    Умный свич проблему не решает народ атакует его
    буфер.Да и дорогое это удовольствие если сеть большая.PPPoE или программы типа 'stargazer'
    для ДС более приземленные варианты.
     
     
  • 2.21, Ph, 01:54, 24/09/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    1 Умные свитчи при атаке на порт умеют его отключать 2 Умные свитчи - от 500 у ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, рьв, 18:36, 23/11/2005 [^] [ответить] [смотреть все]  
  • +/
    Кто или что мешает VPN использовать ?
     
     
  • 4.23, Andrew S. Nurulin, 16:25, 06/12/2005 [^] [ответить] [смотреть все]  
  • +/
    А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? У меня как раз такой сервер, только что озадачился этим вопросом...
     
     
  • 5.24, key, 13:34, 08/12/2005 [^] [ответить] [смотреть все]  
  • +/
    >А как можно защитить несанкционированный доступ к VPN в случае кражи пароля?
    >У меня как раз такой сервер, только что озадачился этим вопросом...
    >
    А как можно защитить несанкционированный доступ к  квартире
    в случае кражи ключа?

    Точно также-не давать возможность его украсть.

     
  • 1.25, brag, 15:01, 28/01/2007 [ответить] [смотреть все]  
  • +/
    Проще всего не трахацца,а переписать с нуля имплемент арпа,чтобы кормить ему файлик с маками и айпишками.посути без поддержки арпа,как такового.жесто ядру дал таблицу и все
     
  • 1.26, DELit, 12:02, 01/03/2007 [ответить] [смотреть все]  
  • +/
    Я сделал так, создал скрипт usr local etc rc d arptable sh шаблонно переписав ... весь текст скрыт [показать]
     
     
  • 2.28, brag, 16:00, 13/06/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Фигня эти все привязки. меняется за считаные секунды, даже на винде.
    я лично юзаю squid с аутентикацией и ssl. практикую и vpn каждому юзеру,тоже неплохо.
    Надежно и до лампочки все снифферы итп
     
  • 1.29, Folder, 18:37, 28/08/2008 [ответить] [смотреть все]  
  • +/
    Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Я использую привязку, но при подключении нового клиента, MAC которого еще не известен, возникает проблема доступа его машины к шлюзу. Может есть что-то вроде arp –s 192.168.0.1 any :)
     
     
  • 2.30, Yurik, 00:49, 29/08/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC?

    Не задавать для этого IP

    >Я использую привязку, но при подключении нового клиента, MAC которого еще
    >не известен, возникает проблема доступа его машины к шлюзу.

    Это очевидно потому, что вы в цикле сделали для всего диапазона привязку к несуществующему адресу

    for ((  i = 1 ;  i < 255;  i++  ))
    do
      arp -s 192.168.0.$i FF:FF:FF:FF:FF:FF
    done

    > Может есть что-то вроде arp –s 192.168.0.1 any :)

    да, arp -d 192.168.0.1


     
     
  • 3.31, poBEDA, 03:08, 02/04/2009 [^] [ответить] [смотреть все]  
  • +/
    Доброй ночи! Может быть я и ошибся темой, но для меня очень актуальна такая проблема:
    кто-то ворует траффик на интернет, воруя МАК-адрес, при этом называет компьютер типа ВОРМ или Троян, айпи не меняет.

    Живу в общежитии. У нас несколько групп безлимитного интернета. Моя группа имеет диапазон адресов от 192.168.10.150(роутер) до 192.168.10.175. Соответственно удивлен был, когда интерес роутера (D-Link DIR-120) обнаружил некого(ую) 192.168.10.189. Через коммандер и команду арп вычислил, что у 189 и у 175 из моей группы один и тот же МАК-адрес. Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Вопрос:
    1) можно ли как-то с этим бороться?
    2) поможет ли привязка мака к айпи от воровства траффика (просто человек сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Заранее благодарен и прошу прощения, если не там написал сообщение.

     
     
  • 4.32, Yurik, 04:36, 02/04/2009 [^] [ответить] [смотреть все]  
  • +/
    >1) можно ли как-то с этим бороться?

    Можно управляемыми свичами, которые позволяют на физический порт програмировать условия фильтрации (по МАС или диапазону МАС например)

    >2) поможет ли привязка мака к айпи от воровства траффика (просто человек
    >сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Не поможет.

    > Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Не все же 100 ПК включены в один свич, отключение целого сегмента резко сужает круг поиска. Вычислить вора можно не более чем за ~10 отключений.

    Но вообще идея аутентификации для доступа в инет через МАС-и нелепа, для этого есть PPPoE или VPN

     
     
  • 5.33, poBEDA, 13:29, 02/04/2009 [^] [ответить] [смотреть все]  
  • +/
    Сегментами - это вариант, но сегодня я его вижу наиболее геморойным, так как проблемы доступа к свитчам, поэтому я его оставляю заранее на конец.

    Можно ли сделать аутентификацию через PPPoE или VPN, используя роутер D-Link DIR-120?
    Если да, как это можно сделать?

    П.С. Если пользуешься асей, стукни плиз, если не сложно. 239219697.

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor