IPFW, zadani vice MAC adres

Břetislav Kubesa bretislav.kubesa at centrum.cz
Fri Nov 6 17:16:07 CET 2009

Previous message: IPFW, zadani vice MAC adres
Next message: IPFW, zadani vice MAC adres
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

>
> ipfw add allow ip from any to any \{ MAC 00:01:02:03:04:05 any or MAC 
> 00:01:02:03:04:06 any \} via rl0
>
> Tech "or" tam muze byt vic.

Skvele, diky. Predpoklad, ze "deny allow" bylo prehlednuti, je spravny, 
vzhledem k casu, kdy to bylo odesilane.

> Mno, a ty predpokladas, ze uzivatel zvladne "ukrast" IP adresu, ale 
> nezvladne ukrast MAC ? Neni to divny predpoklad ? Vzdyt se to nakonec 
> nastavuje ve Woknech v tomtez okne ...
>

Ne tak zcela, jednak MAC a IP se v oknech nastavuje trochu jinde (a nelze 
nastavit na vsech adapterech), jednak se opravdu jedna o dostacujici reseni.
Samozrejme jsem si vedom, ze tim nezamezim neutorizovanemu 
pristupu...nicmene IP dokaze nastavit vetsina lidi, zatimco MAC jiz o trochu 
lidi mene.
Pokud se bavim o cloveku znalem, pak by jej zrejme nezastavilo vubec nic.

> Pokud uzivatel zvladne ukrast oboji, pak to timhle zpusobem vubec 
> nevyresis a nutne smerujes k 802.1x
>
> Pokud nepokrade ani jedno, pak registrovanym prideluj DHCP adresu z 
> nejakeho rozsahu (konstatni prirazeni MAC<->IP), neznamym z dynamickeho 
> rozsahu a filtruj podle IP.

...ohledne rozdeleni rozsahu, to je velmi dobry napad, diky za nakopnuti.

Co se tyce dalsiho prispevku ohledne zakazani MAC na switchi, tak samozrejme 
ano, za predpokladu ze jsou k dispozici managovatelne switche.

Jinak dekuji vsem za pomoc.

BK

Previous message: IPFW, zadani vice MAC adres
Next message: IPFW, zadani vice MAC adres
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list