Hello!
Linux osztja az ADSL-emet itthon. Több gépnek is. Azt szeretném elérni, hogy a csatlakozo kliensek, csak egy adott Halokartyaval es egy adott IP cimmel csatlakozhassanak. Erre elvileg az arp progi jo amihez kell egy ethers file ami igy nez ki:
00:0A:00:00:00:05 192.168.0.10
00:00:70:05:00:00 192.168.1.20
es ezt betolteni az '' arp -f /etc/ethers ''paranccsal lehet, de ugy vettem észre nem er semmit, a kliens ugyanugy betudja allitani 10 helyett a 9-es IP-t is. Vagy én csinálok valamit rosszul?
Tud valaki segíteni? mindenképpen ilyen megoldást szeretnék, mert gyakorlás miatt is van fent ez a linux. A válaszokat előre is kösz, bár valahogy sejtem, hogy nem lesz egy népszerű topic
[Szerkesztve]
[Szerkesztve]
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [sziku69:] Szólánc.
- [Re:] Négymagos Xeon(!) CPU LGA775-ös deszkában
- [Re:] eBay-es kütyük kis pénzért
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] A használt VGA piac kincsei - Július I
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [HThomas:] Nikon D500 wishlist
- [Re:] [HThomas:] Kia Ceed SW JD vs CD tapasztalatok
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Hozzászólások
vtechun
veterán
shev7
veterán
lehet hulyeseget mondok, de az arp nem arra valo, hogy egy adott eszkoz mindig ugyan azt az ipcimet kapja?
''Gee, Brain, what do you want to do tonight?'' ''The same thing we do every night, Pinky: Try to take over the world!''
kraftxld
nagyúr
Én se akarok hülyeséget mondani, de sztem DHCP kell neked
Ott meg lehet adni, hogy milyen MAC címhez milyen IP-t rendeljen.
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
vtechun
veterán
ja, az meg van oldva, de ki akarom kuszobolni, hogy kezzel atirhassa, tehat az kellene, hogy adott MAC csak az adott IP-t hasznalhassa, es mast nem, dhcp amit kioszt azt kezzel felul lehet sajnos biralni
kraftxld
nagyúr
Ezt az OS-ben kell szabályozni, hogy ne legyen jogosultsága az usernek átírni.
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
steveetm
őstag
iptables -I INPUT -p tcp -s ipcim -m mac --mac-source AA:BB:CC:DD:EE:FF-j ACCEPT
iptables -I INPUT -p tcp -s ipcim2 -m mac --mac-source BB:CC:DD:EE:FF:AA -j ACCEPT
iptables -I INPUT -j DROP
Üdv.: steveetm
[Szerkesztve]
steveetm
őstag
Amit akar az nem hülyeség, az os-t törhetik vagy lecserélhetik másra, de ha gw oldalon korlátozod ezt akkor biztosra tudni fogod, hogy meik gépen is rosszalkodtak.
Persze lehetne mondjuk még úgyis, hogy csak akkor kap szabályt ha dhcp oszt egy ip-t, + beizzitani egy arpwatchot, és már abból láccik ha valaki szórakozni akar, mindenestre nem túl szerencsés csak az kliensoldalon intézkedni.
Üdv.: steveetm
Lortech
addikt
Szerver oldalon beírhatsz akármit iptablesbe, arp / ethersbe, dhcp-be, kliens oldalon felülbírálható , és nem fogod tudni hogy melyik gépen rosszalkodtak, ha egy másik gép beállításait használja valaki.
Thank you to god for making me an atheist
steveetm
őstag
Hát ez azért igy erős. Ezért kell szűkíteni, hogy adott helyről vagy bizonyos gépek csatlakozhatnak, esetleg a switchbe is belövöd hogy minden portra kötött mac, és akkor iptablesbe már csak machez ip-t kell rendelni.
Semmiképp sem fölösleges sem a szerver sem a kliensoldali, de csak kliensoldalon korlátozni mégis veszélyesebb mint inkább szervernél.
Üdv.: steveetm
Lortech
addikt
Nem egyről beszélünk.
Mi erős? Ha ugyanarról az ip-ről és MAC-ről megyek mint egy legitim felhasználó, hogyan tudnád megállapítani, hogy épp kivel van dolgod? Ezt írtad, én pedig erre reagáltam.
Természetesen van értelme kliens és szerver oldalon is szűrni, erről egy kukkot nem szóltam. Viszont szerver oldalon hiába állítasz be statikus arp-ot, attól még a kliens olyan ip-vel és olyan MAC-kel jön amilyennel csak akar, max ha nem egyezik a szerverbeni arp táblával, akkor a szerver nem fogja látni és viszont.
[Szerkesztve]
Thank you to god for making me an atheist