| View previous topic :: View next topic |
| Author |
Message |
kacper
Guru
Joined: 07 Feb 2004
Posts: 300
Location: Poland, Słubice
|
 Posted: Wed May 13, 2009 5:13 pm Post subject: wymuszenie IP serwera, 'lewe' podłączenia do sieci |
 |
|
Witam,
Mam dwie sprawy, od jakiegoś czasu w jednej z sieci ludzie sobie stawiają jakieś AP'ki i próbują wymusić dzielenie łącza na lewo, właściwie 'na lewo' ponieważ jest to sieć na którą wszyscy się składają i nikt na niej nie zarabia. Od czasu do czasu pomagam tam znajomemu ogarnąć ten bajzel i jest pewien problem, otóż w/w AP przypisują sobie adres 192.168.1.1, który posiada główny serwer z dhcp/htb/nat itd, nie raz pojawiają się konflikty i ludzie nie mogą uzyskać adresów z dhcp.
Jak wymusić na głównym serwerze żeby tylko on miał adres 192.168.1.1 a inne które próbują to zrobić lądowały w /dev/null? Serwer posiada dwie sieciówki, jedna pod DSL druga do switcha.
A druga sprawa, to znacie jakieś dość skuteczne metody na amatorów podpinania się na lewo? Ja zawsze korzystałem z arp -f i tablicy w /etc/ethers, ale pewnie są już skuteczniejsze metody.
_________________
http://www.koniec-iti.eu |
|
| Back to top |
|
 |
timor
Guru
Joined: 25 May 2005
Posts: 517
Location: Poland
|
| Posted: Fri May 15, 2009 9:20 pm Post subject: Re: wymuszenie IP serwera, 'lewe' podłączenia do sieci |
|
|
Żeby zablokować takie konfiguracje musiałbyś ustawić blokowanie portów na switchu jeśli ktoś inny ustawi sobie bramę - ale jeśli to mała sieć to wątpię abyście mieli switch'a z taką funkcjonalnością.
Aby ograniczyć wpływ takich kombinacji na inne komputery w sieci, można zrobić VLAN'y na switchu, dzięki temu net padnie mniejszej grupie osób.
Można też zbierać i uaktualniać listę par MAC/IP a całą resztę dropować - dzięki temu na starcie część nieobeznanych odpadnie, ale jest to zabezpieczenie typu /etc/ethers - czyli na dłuższą metę nieskuteczne.
W tego typu sytuacjach najlepiej sprawdza się PPPoE (PPP over Ethernet) lub LAN (bez dostępu na zewnątrz) + VPN (dający dostęp na zewnątrz). Czyli wpinasz jakikolwiek komp do sieci i automatycznie dostajesz adres, ale żeby w pełni korzystać z neta musisz się autoryzować. To praktycznie zablokuje możliwość podszywania się (kombinacje ze zmianą MAC'a).
Pozdrawiam.
_________________
Nie lubię chomików.... budzą we mnie agresję... |
|
| Back to top |
|
|
quosek
Apprentice
Joined: 07 Mar 2006
Posts: 269
|
| Posted: Mon May 18, 2009 9:07 am Post subject: |
|
|
| to zmien siec na np. 10.3.2.255 - jest duzo mniejsze prawdopodobienstow, ze ktos sobie ja akurat postawi na tym zakresie |
|
| Back to top |
|
|
timor
Guru
Joined: 25 May 2005
Posts: 517
Location: Poland
|
| Posted: Mon May 18, 2009 9:19 am Post subject: |
|
|
Nie wiem czy to coś da. Zwykle jak koleś w instrukcji znajdzie "brama domyślna" to przeklepie to co znajdzie w obecnej konfiguracji 
Skutek - oczywisty 
_________________
Nie lubię chomików.... budzą we mnie agresję... |
|
| Back to top |
|
|
Kurt Steiner
Bodhisattva
Joined: 01 Apr 2005
Posts: 1050
Location: Ostroleka, Polska
|
| Posted: Mon May 18, 2009 1:14 pm Post subject: |
|
|
Moved from Instalacja i sprzęt to Polish OTW.
_________________
Proszę, pamiętaj o regulaminie, a jeśli zauważysz, że został on złamany, zgłoś to.
LRU:431698 |
|
| Back to top |
|
|
kacper
Guru
Joined: 07 Feb 2004
Posts: 300
Location: Poland, Słubice
|
| Posted: Mon May 18, 2009 5:17 pm Post subject: |
|
|
Zrobiłem tak jak myślałem na początku i jak zalecaliście, czyli zmieniłem podsieć, teraz jest ok.
A jak radzicie sobie z 'lewymi' podłączeniami do sieci?
_________________
http://www.koniec-iti.eu |
|
| Back to top |
|
|
Dagger
Retired Dev
Joined: 11 Jun 2003
Posts: 765
Location: UK
|
| Posted: Mon May 18, 2009 7:17 pm Post subject: |
|
|
zmiana TTL na 1 jest dosc skuteczna metoda. Wylozy to polowe amatorow i pseudo-fachowcow.
Najlepsza medota jest ograniczenie pasma dla uzytkownika - i niech sobie robi z nim co chce.
_________________
95% of all computer errors occur between chair and keyboard (TM)
Join the FSF as an Associate Member!
Post under CC license. |
|
| Back to top |
|
|
SlashBeast
Retired Dev
Joined: 23 May 2006
Posts: 2922
|
| Posted: Mon May 18, 2009 7:35 pm Post subject: |
|
|
| Problemem jest chyba to, ze jak jakis baran zle router podlaczy, to zacznie swoje bzdurne adresy IP po dhcp rozdawac przez co moze wywalic kawal sieci osiedlowej. |
|
| Back to top |
|
|
timor
Guru
Joined: 25 May 2005
Posts: 517
Location: Poland
|
| Posted: Mon May 18, 2009 7:43 pm Post subject: |
|
|
Można też korzystać z aplikacji typu pof albo natdet i jeżeli ktoś zbyt często pojawia się w wynikach tych aplikacji to można zasadnie przypuszczać że kombinuje z udostępnianiem. Ale dwie metody podane poprzednika są najlepsze.
_________________
Nie lubię chomików.... budzą we mnie agresję... |
|
| Back to top |
|
|
karaluch
Apprentice
Joined: 23 Apr 2005
Posts: 236
Location: Wrocław / Poland
|
| Posted: Thu Jun 04, 2009 9:34 am Post subject: |
|
|
| Proponuje uruchomic Captiv portal aby logowac wszystkich spragnionych internetu, jezeli ktos chce miec wicej kont musi sie o nie zapytac. W dodatku bedziesz mial wiedze czy ktos cos kombinuje... |
|
| Back to top |
|
|
Belliash
Advocate
Joined: 24 Nov 2004
Posts: 2503
Location: Wroclaw, Poland
|
| Posted: Sat Jun 13, 2009 7:57 pm Post subject: |
|
|
1) statyczne DHCP po MAC
2) filtrowanie MAC
3) bindowanie tablicy ARP
4) inna podsiec - 255.255.255.0 -> faktycznie macie ponad 250 kompow w sieci? nie? zmienic adresacje
5) WPA2
6) captive portal
7) QOS + limit predkosci dla poszczegolnych osob + calkowite limitowanie pozostalych ktore nie sa w tablicy ARP
_________________
Asio Software Technologies
Belliash IT Weblog |
|
| Back to top |
|
|
|
Polskie forum (Polish) 
