Ping_Win
написал 7 апреля 2006 года в 02:35 (706 просмотров)
Ведет себя
неопределенно; открыл 73 темы в форуме, оставил 102 комментария на сайте.
Такая вот проблема появилась:
есть локалка. Для того чтоб закрепить за каждым пользователем свой адрес, поднял dhcp-сервер, всем пользователям прописал статические IP.
Нельзя ли как-нибудь избавиться от проблемы умышленной смены IP, т.е. чтоб пользователю, который прописывал себе IP собственноручно, выдавалась ругань мол такой IP уже используется или что-то типа того?
Спасибо
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
на свитче прописать привязку mac->ip->порт.
Врядли это получится, т.к. во всей сети лишь дешевые коммутаторы. На них ничего не пропишешь
права отобрать. на смену IP
Интересно как?
Скажем есть две машины, A и B, и dhcp-сервер, который выдает машине A IP1, машине B IP2. Вася Пупкин, сидя за машиной A (у него конечно винда стоит) берет и вместо автоматичекого получения адреса ставит IP2. Обращений к dhcp не происходит. А Вася успешно сидит в сетке.
(У нас домашняя сеть, пользователи часто меняют адреса, хотелось бы этому положить конец)
Ах, так у вас бардак в сети ;)
тогда покупайте нормальные коммутаторы.
Вот Вам хорошая ссылка по теме, содержит различные варианты решения вашей проблемы: http://unixfaq.ru/index.pl?req=qs&id=169
решение там ровно одно — купить нормальное железо.
В нескольких модификациях, правда — туннели (а ведь их тоже надо чем-то терминировать), dot1x и ограничения на порту умного свитча. Вне корпоративной сферы dot1x не рулит.
Остальное — это костыли, которые внедрять себе дороже.
Развернул такую штуку, завазана она на ARP-таблице. В ней могут существовать записи 3-х типов: временные, постоянные и публичные. Вот как раз если занести на олном компе в ARP-таблицу публичную запиьсь, то другие компы в сети с отличным от данного MAC-адресом не смогут занять данный IP-шник.
Делается это так: #arp -s 192.168.0.1 01:01:01:01:01:01 pub
Единственное, как заставить Linux проглотить pub я так и не понял, по-умолчанию не принимает. А на FreeBSD замечательно работает.
Далее вопрос появляется такой: а как защититься от подмены MAC-адреса Ж:)))
О! Ты понял самую суть!!!!
От смены IP делаем так:
Смысл в том что бы в таблицу arp записать IP и MAC юзеров а остальные фиктивные.
например есть сеть 192.168.1.1-254 В сетке 10 юзеров
в arp таблицу заносим этих юзеров к примеру с 192.168.1.2-11 а оставшиеся адреса заносим в таблицу с левым маком например 00:00:00:00:00.
И тогда юзеры уже не смогут менять адреса а в логах ты увидишь ругать типа
IP 192.168.1.5 хотел падло такое сменить свой IP на 192.168.1.55
Да тут про статическую arp-таблицу уже все поняли ;). Даже в ссылке, приведённой Taras_, рассказывается про этот способ. Однако он нисколько не защитит от одновременной смены плохим парнем MAC- и IP- адресов, соответствующих друг другу в твоей статической таблице.
ИМХО, единственное преемлемое решение в данной ситуации уже было озвучено: «купить нормальный коммутатор».