OT zase to pentium :] ODPOVED

Dan Lukes dan at obluda.cz
Mon Nov 25 03:40:47 CET 2002

Previous message: OT zase to pentium :] ODPOVED
Next message: Moje konfiguraky
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Pentium wrote, On 11/25/02 02:19:

> > > 2. Nektere MAC adresy budou mit pristup na internet Ne IP adresy ty
> lze
> > > snadno menit.
> ...

 > > Je tedy treba zamerit se jinym smerem - filtrovat podle IP (adresy

> > pridelovat ze dvou bloku z nichz jeden pristup na Internet ma a jiny
> > nema) a soucasne zajistit, aby ten, kdo si zmeni IP adresu pristup
> > proste nemel. To se da zajistit statickou inicializaci ARP tabulky
> (man
> > arp) na routeru - takze router ztrati schopnost posilat pakety tam,
> kde
> > kombinace IP a MAC "nesedi".
>
> Muzete trochu vic k tomu napsat ? je to zatim asi predbezne ale rad bych
> znal moznosti. Program co to dela kam se to pise a jake jsou zakladni
> konfigurace neco si zase k tomu najdu. Zatim bych to asi resil pres
> pravidla v IPFW ,ale tim se nevyhnu tem zmenam mac adres.

	IPFW budete stejne potrebovat - to bude omezovat pristup "ven" pro 
jeden blok adres a povolovat pro ten druhy. Konzistenci MAC v.s. IP 
zajistujete tak, ze vyplnite ARP tabulku permanentnimi zaznamy pro 
VSECHNY (tedy i nepridelene) IP adresy, ktere jsou pro vnitrni interface 
"lokalni".  Pro pridelene adresy tam samozrejme date spravnou kombinaci 
IP<->MAC (i proto je treba nepridelovat IP nahodne z poolu, ale 
semistaticky - k jedne MAC vzdy stejnou IP), pro nepridelene IP tam date 
IP s nejakou vymyslenou MAC. Permanentni ARP zaznamy nejsou modifikovane 
na zaklade informaci prichazejicich ze site.

	Modifikace ARP tabulky provadi program "arp" (man arp), option, ktery 
chcete pouzxit je '-S'.

	Celou zabavu vam muze pokazit isc-dhcp, ktere se urcite v ramci sve 
cinnosti pokousi ARP tabulky modifikovat take, otazka je, jestli ho 
zastavi permanence zaznamu. Pokud ne a bude vam permanentni zaznamy 
likvidovat a nahrazovat nepermanentnimi, mate pro vas obtizne resitelny 
problem. Ja bohuzel nemohu chovanim tohoto DHCP slouzit, neb jak jiz 
drive receno, nepouzivam ho - musite to vyzkouset.

> > Mimochodem, vite, ze zmenit MAC lze na naproste vetsine sitovych karet
> > stejne rychle jako zmenit IP ?
>
> Ano ale pro amatery je tato funkce zahalena tajemstvim pravdepodobnejsi
> je ze se nekdo pokusi zmenit si IP adresu aby se dostal na internet a
> tim omezi ostatni proto to vazani na MAC lze tomu nejak zabranit ? Ve
> win2k to lze. Tam muzete vazat mac adresu k ip jako lze zde a ostatni ip
> natvrdo zadane se na internet nedostanou.

	No, nemyslim si, ze je pro nekoho zmena IP slozitejsi nez zmena MAC - 
amater nezvladne ani jedno, clovek schopny alespon zakladne pouzit 
takrka jakykoliv vyhledavac zvladne zmenit oboji. Nicmene, to je vec 
subjektivniho nazoru. Kazdopadne, vam nezbyva nez verit tomu, co rikate, 
protoze kdyby to tak nebylo, nezbyva nez konstatovat, ze se softwarove 
branit vubec nelze. Ja pouzivam tutez taktiku obelhavani sebe sama, 
jenze si nijak zvlast neverim ... ;-)

						Dan



-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz

Previous message: OT zase to pentium :] ODPOVED
Next message: Moje konfiguraky
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list