Blokowanie net'u wyłącznie dla Windowsów

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

Skrócę przeklinanie na te skurw.... winshity (wira złapałem

) przejdę od razu do pytania, czy jest możliwość by dhcpd rozpoznawał jaki system wysyła zapytanie o IP ?
_________________
Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]

qermit · Veteran Joined: 02 Feb 2005 Posts: 1032

Może przy współpracy z iptables by się dało - tzn z windowsa pakiety lądowały by na innym porcie
_________________
"A co ty masz w swoim LinuXie?" - Dr Qermit

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

Tylko chce by to było realizowane bez ingerencji w klientów, by windows już przy instalacji nie miał neta, jednak Gentoo by się przydało, a trudno żeby livecd miało jakieś zmodyfikowane na moje warunki narzędzia

_________________
Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]

lsdudi · Guru Joined: 12 Nov 2006 Posts: 392 Location: Warsaw

A jaki masz dokładnie problem? bo może jest inne wyjście
_________________
RLU#416942

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

Chodzi o to by komputery miały dostęp do internetu, jednak te z zainstalowanym/uruchomionym (bo na niektórych są 2 systemy) windowsem miały dostęp jedynie do sieci lokalnej, żeby wirusów nie łapać z zewnątrz

_________________
Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]

Paczesiowa · Posted: Sun Jan 14, 2007 7:44 pm Post subject:

mozesz przydzielac windowsom takie ip ktore bedizesz wycinal na firewallu. a wszystkie kompy na linuxie sobie pozmieniaja maci na ktore juz dostana normalne dzialajace ip.

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

Nad tym też myślałem, że standardową pulę IP mam .1.x, pulę gdy podłączam nową maszynę .1.1x, a dla windziaków dałbym .1.2x gdzie blokowałbym wyjście na net. Tylko jeśli to możliwe to wolałbym pozostawić IP po DHCP, a zmiana mac'ów troche odpada, bo wtedy dla każdego jednego livecd trzeba będzie zmieniać mac.
_________________
Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]

lsdudi · Guru Joined: 12 Nov 2006 Posts: 392 Location: Warsaw

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

timor · Guru Joined: 25 May 2005 Posts: 517 Location: Poland

Gabrys · Posted: Thu Jan 18, 2007 2:09 pm Post subject:

milu · Posted: Thu Jan 18, 2007 3:34 pm Post subject:

A'la WEP to może być PPPoE, trzeba zainstalować serwer, poustawiać użytkowników i hasła i wtedy przy logowaniu do sieci trzeba będzie się uwierzytelnić via PPPoE.

A co do łapania wirusów z zewnątrz - jeśli nie będziesz udostępniał go na publicznym IP i przyblokujesz na firewallu wychodzące windowsowe porty(137-139 i 445) to powinno to pomóc. W tym wypadku groziły by tylko wirusy w sieci lokalnej lub te ściągnięte na własne życzenie.
_________________
Pozdrawiam,
Milu
------------------------------------
Registered Linux User: #246079
Zanim zadasz pytanie przeczytaj to dokładnie!!

nmap · Posted: Thu Jan 18, 2007 3:43 pm Post subject:

Dziwie się czemu dałeś taki temat ? Jakoś wydaje mi się ze nijak ma się do twego problemu .
Co do twego problemu zaprzągł bym sobie w sieci OpenBSD . System ten posiada PF dzięki któremu możesz osiągnąć zamierzone ograniczenia.
Oczywiście można to zrobić na jakiejś distro linuxa tez . Wydaje mi się ze w twojej sieci jest źle rozplanowana ruch sieciowy .
Poczytaj sobie oto minimalna wiedza o PF . Ja bym użył tego do ograniczeń ruchu sieciowego .
http://www.openbsd.org/faq/pf/pl/index.html
_________________

FSF OpenBSD Open Source . You Have the Power !

qermit · Veteran Joined: 02 Feb 2005 Posts: 1032

ten pan ma rację, iptables nie oferuje tak prostej metody wyłapywania systemu przez odcisk palucha systemu operacyjnego.

Jedyne co można znaleźć to ippersonality (łatka na iptables), ale jeszcze nie słyszałem o nikim kto by to używał.
_________________
"A co ty masz w swoim LinuXie?" - Dr Qermit

Yatmai · Veteran Joined: 12 Nov 2005 Posts: 1501 Location: Kraków

Hehe w sumie to się troche zagalopowaliście

Sieć mam dobrze zbudowaną, wbrew sugestii któregoś z panów. Problem leży w odwiecznym najsłabszym ogniwie łańcucha bezpieczeństwa. "Korporacje wydają miliony dolarów na firewalle, czy inne systemy zabezpieczeń, a użytkownik zapisze sobie hasło na żółtej karteczce i przyklei do monitora" kojarzycie to zdanie ? :wink:

I o to właśnie chodzi, lan ma być, żebym sobie mógł z kumplami czasem pociupać w gierki, ale wyjście na internet nie, żeby mnie czasem nie przyszedł głupi pomysł łażenia po internecie na windowsie, bo mi się nie chce na linucha przełączać

_________________
Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]

timor · Guru Joined: 25 May 2005 Posts: 517 Location: Poland

Więc ja nadal nie rozumiem celu takiej konfiguracji. Dla mnie logiczne jest jeżeli wycina się z zewnątrz porty wirusów, a internet jest po równo dla wszystkich. Nie wiem jak dużą siecią zarządzasz ale jeżeli to ma być ułatwienie tylko dla Ciebie to chyba najprościej byłoby zmienić mac na windzie i wyciąć go w ruchu na zewnątrz pozostawiając jednak forwardowanie. Działało by tak jak chcesz i da się to zrobić bez dodatkowego softu w 3 min.

szolek · Posted: Fri Jan 19, 2007 10:54 pm Post subject:

Jeśli na Linuksie nie używasz samby to może szybciej wyszukasz komputery z domyślną windowsową konfiguracją sieci.

Gabrys · Posted: Fri Jan 19, 2007 11:15 pm Post subject:

Słuchajcie a może tak:

1. Skrypt do blokowania netu dla danego IP
Potrafisz to zrobić prawda?
2. Skrypt do odblokowania netu dla danego IP
j.w.
3. nmap z jakimiś opcjami, żeby wykrywał tylko system operacyjny i robił to w miarę szybko
4. skrypt, który robi mniej więcej:
if nmap wykrywa windowsa; to odetnij_net; ajaknie odblokuj_net
5. wrzucić skrypt do crona

i gitara, czyż nie?
_________________
Sabayon Professional 1.1 (czyli zdradziłem oryginalne Gentoo)
@ Dell Inspiron 8600 (nVidia, Realtek, Pentium M)

timor · Guru Joined: 25 May 2005 Posts: 517 Location: Poland

szolek · Posted: Sat Jan 20, 2007 7:35 am Post subject:

Z ipt_recent było by szybciej. Jedna regułka blokująca, druga sprawdzająca. Tylko odpowiednio sprawdzającą ułożyć.

qermit · Veteran Joined: 02 Feb 2005 Posts: 1032

powiem tak - wszystkie aktywne metody sprawdzania mają większe lub mniejsze dziury.

najlepsza by była pasywna, tylko trzeba znaleźć coś dla windowsów - może próba pobierania update ze stron ms??
_________________
"A co ty masz w swoim LinuXie?" - Dr Qermit

Raku · Posted: Sat Jan 20, 2007 12:26 pm Post subject:

a może wartość TTL?
_________________
raku

Powered by Archlinux ;-)

qermit · Veteran Joined: 02 Feb 2005 Posts: 1032

O! to jest dobre!
Wiedziałem, że o czymś zapomniałem. Ale jest jeden szkopuł. Linux ma chyba tyle co windows 98

zbychuk · n00b Joined: 12 Mar 2004 Posts: 30 Location: Poland

Jest takie jedno rozszerzenie do IPTABLES o nazwie OSF (jeśli się nie mylę). Chodzi o pasywne rozpoznawanie systemu operacyjnego na podstawie wysyłanych przez niego pakietów.

ryszardzonk · Posted: Wed Jan 24, 2007 8:58 pm Post subject: