Hello!


Linux osztja az ADSL-emet itthon. Több gépnek is. Azt szeretném elérni, hogy a csatlakozo kliensek, csak egy adott Halokartyaval es egy adott IP cimmel csatlakozhassanak. Erre elvileg az arp progi jo amihez kell egy ethers file ami igy nez ki:

00:0A:00:00:00:05 192.168.0.10
00:00:70:05:00:00 192.168.1.20

es ezt betolteni az '' arp -f /etc/ethers ''paranccsal lehet, de ugy vettem észre nem er semmit, a kliens ugyanugy betudja allitani 10 helyett a 9-es IP-t is. Vagy én csinálok valamit rosszul?
Tud valaki segíteni? mindenképpen ilyen megoldást szeretnék, mert gyakorlás miatt is van fent ez a linux. A válaszokat előre is kösz, bár valahogy sejtem, hogy nem lesz egy népszerű topic

[Szerkesztve]

[Szerkesztve]

up

lehet hulyeseget mondok, de az arp nem arra valo, hogy egy adott eszkoz mindig ugyan azt az ipcimet kapja?

''Gee, Brain, what do you want to do tonight?'' ''The same thing we do every night, Pinky: Try to take over the world!''

Én se akarok hülyeséget mondani, de sztem DHCP kell neked
Ott meg lehet adni, hogy milyen MAC címhez milyen IP-t rendeljen.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

ja, az meg van oldva, de ki akarom kuszobolni, hogy kezzel atirhassa, tehat az kellene, hogy adott MAC csak az adott IP-t hasznalhassa, es mast nem, dhcp amit kioszt azt kezzel felul lehet sajnos biralni

Ezt az OS-ben kell szabályozni, hogy ne legyen jogosultsága az usernek átírni.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

iptables -I INPUT -p tcp -s ipcim -m mac --mac-source AA:BB:CC:DD:EE:FF-j ACCEPT
iptables -I INPUT -p tcp -s ipcim2 -m mac --mac-source BB:CC:DD:EE:FF:AA -j ACCEPT
iptables -I INPUT -j DROP

Üdv.: steveetm


[Szerkesztve]

Amit akar az nem hülyeség, az os-t törhetik vagy lecserélhetik másra, de ha gw oldalon korlátozod ezt akkor biztosra tudni fogod, hogy meik gépen is rosszalkodtak.
Persze lehetne mondjuk még úgyis, hogy csak akkor kap szabályt ha dhcp oszt egy ip-t, + beizzitani egy arpwatchot, és már abból láccik ha valaki szórakozni akar, mindenestre nem túl szerencsés csak az kliensoldalon intézkedni.
Üdv.: steveetm

Szerver oldalon beírhatsz akármit iptablesbe, arp / ethersbe, dhcp-be, kliens oldalon felülbírálható , és nem fogod tudni hogy melyik gépen rosszalkodtak, ha egy másik gép beállításait használja valaki.

Thank you to god for making me an atheist

Hát ez azért igy erős. Ezért kell szűkíteni, hogy adott helyről vagy bizonyos gépek csatlakozhatnak, esetleg a switchbe is belövöd hogy minden portra kötött mac, és akkor iptablesbe már csak machez ip-t kell rendelni.
Semmiképp sem fölösleges sem a szerver sem a kliensoldali, de csak kliensoldalon korlátozni mégis veszélyesebb mint inkább szervernél.
Üdv.: steveetm

Nem egyről beszélünk.
Mi erős? Ha ugyanarról az ip-ről és MAC-ről megyek mint egy legitim felhasználó, hogyan tudnád megállapítani, hogy épp kivel van dolgod? Ezt írtad, én pedig erre reagáltam.
Természetesen van értelme kliens és szerver oldalon is szűrni, erről egy kukkot nem szóltam. Viszont szerver oldalon hiába állítasz be statikus arp-ot, attól még a kliens olyan ip-vel és olyan MAC-kel jön amilyennel csak akar, max ha nem egyezik a szerverbeni arp táblával, akkor a szerver nem fogja látni és viszont.

[Szerkesztve]

Thank you to god for making me an atheist