arp

[Dan Lukes]

Martin Horcicka wrote:

> > > (cehoz lze dosahnout efektivneji nastavenim
> > > statickych ARP zaznamu pro existujici IP adresy a zakazanim ve firewallu
> > > obema smery pro neexistujici).
> >
> >       To ti resi problem komunikace z nepridelenych IP adres - nikoli vsak IP
> > komunikace z neschvalenych sitovych karet, ktere si nekdo napevno
> > nastavi na adresu pridelenou (a nejde jen o to, ze si nekdo vymeni
> > sitovku - jde o to, ze proste prijde nekdo novy a pripoji si pocitac).
> 
> Nesouhlasim. Nepridelene adresy se proste zakazou ve firewallu a pridelene
> se svazou s MAC adresou statickym zaznamem v ARP tabulce (jak uz jsem
> ostatne psal vyse). Takze pres nepridelene adresy nepujde komunikovat ani
> jednim smerem a pres pridelene (s jinou sitovkou) pouze smerem ven, coz je
> asi tak nejvic ceho se da dosahnout.
> 
> Je ale fakt, ze kdyz budes mit staticke ARP zaznamy na vsechny adresy,
> poznas vzdycky z logu, ze "nekdo neco zkousel", protoze kernel zahlasi, ze
> se nekdo dynamicky pokousel zmenit ARP zaznam. (Coz ovsem nevylucuje
> kombinaci s firewallem - napr. na vnejsim interfacu.)

	Aha, spatne jsem pochopil podstatu toho, co navrhujes.

	Takze ano, muzes to udelat i tak, jak navrhujes - jen musis udrzovat
dve tabulky misto jedne (firewall a arp), zhorsis routovaci pruchodnost
systemu (mnoho zaznamy ve firewallu navic ve tvem reseni jejichz
kontrola je procesorove daleko narocnejsi nez "arp blok"). Nema to ale
nevyhodu potrebu jedne ARP adresy pouzivane pro "nepridelene"IP, kterou
by si nekdo mohl pridelit a tak pouziva i nepridelenou IP. Nicmene, ten
kdo umi zmenit MAC muze ukrast i pridelenou IP bude-li se chtit
zamaskovat, takze zasadni vyhodu neziskas. Z toho mi vychazi, ze tebou
navrhovany system neprinasi vyhody, ale je slozitejsi na spravu i
narocnejsi na vykon procesoru.

	Souhlasim ale, ze je funkcni a je to mozne reseni.

							Dan