| 1.1, Alex (?), 18:07, 01/10/2002 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek 8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину? | | |
| |
| 2.2, Горник (?), 21:45, 01/10/2002 [^] [^^] [^^^] [ответить]
| +/– | |
>Ещё как либо возможно контролировать конкретную машину?
Убираем хабы и ставим везде свичи с возможностью фильтрации MAC адресов.
Для каждого юзера на свиче прописываем фильтр, где пропускаем только реальный MAC-адрес.
| | |
| 2.14, вандал (?), 16:30, 23/04/2004 [^] [^^] [^^^] [ответить]
| +/– |
 >Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek
>8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?
написано Алексом от 01 окт 02 18:07
отправь на мыло как это сделать и как узнать МАС другой машины!
| | |
| 2.15, вандал (?), 16:31, 23/04/2004 [^] [^^] [^^^] [ответить]
| +/– |
>Сейчас на карточках предоставлена возможность ручной замены mac адресов (пробовал на realtek
>8139(A/B/C/D)). Ещё как либо возможно контролировать конкретную машину?
написано Алексом от 01 окт 02 18:07
отправь на мыло как это сделать и как узнать МАС другой машины!
Diac@mail.kz
| | |
|
| 1.3, Evgeniy (?), 02:51, 16/03/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А можно как нибудь запретить неупровляемому СВИТЧУ изменять таблицу МАС адресов?????
Какая микросхема в свитче отвечяет за запись МАС адресов???? | | |
| 1.5, Dmitry (?), 10:02, 10/06/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Данную проблему решил собственно так:
в БД загнал все ip и связанные с ними mac, затем правила для каждого хоста. Написал на перле скрипт который из бд создает правила для фаервола,первым правилом стоит проверка ip в связке с mac. Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для данного хоста...
Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол просто не пустит.
А на счет смены mac, так только выручать вумные свичи... | | |
| |
| 2.6, SergeS (?), 20:39, 13/06/2003 [^] [^^] [^^^] [ответить]
| +/– |
 >Данную проблему решил собственно так:
>в БД загнал все ip и связанные с ними mac, затем правила
>для каждого хоста. Написал на перле скрипт который из бд создает
>правила для фаервола,первым правилом стоит проверка ip в связке с mac.
>Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для
>данного хоста...
>Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол
>просто не пустит.
>А на счет смены mac, так только выручать вумные свичи...
мой 3сom 4400 похоже этого не умеет(((
а пример можешь выслать? Я просто ищу пример скриптов, сейчас сам столкнулся с этим. "Война" с одним из операторов. Но mac менять не умеет пока никто в сетке.
tennen#mail.od.ua.
| | |
| 2.7, mic (?), 07:09, 07/08/2003 [^] [^^] [^^^] [ответить]
| +/– |
 У меня такаяже проблема встала.
Юзера ходят через сквид, но вот захотели и почту забирать и по фтп нормально ходить.
Мужики, у меня такая идея родилась:
Прога меленькая на клиенте слушает порт (к примеру 3000).
На сервере прога типа natd при попытке доступа во внешний мир посылает запрос на 3000 порт насчет логин-пароля.
В ipfw divert'ить на это прогу.
Вот такая замен вумных свичей прогами :) | | |
| 2.8, Fduch (?), 14:11, 22/08/2003 [^] [^^] [^^^] [ответить]
| +/– |
>Данную проблему решил собственно так:
>в БД загнал все ip и связанные с ними mac, затем правила
>для каждого хоста. Написал на перле скрипт который из бд создает
>правила для фаервола,первым правилом стоит проверка ip в связке с mac.
>Если правило удовлетворяет этой связке переход на лигитимную цепочку правил для
>данного хоста...
>Тут меняй не меняй, а если ip не будет соответсвовать mac фаервол
>просто не пустит.
>А на счет смены mac, так только выручать вумные свичи...
Не понял я... а что мешает мне сменить мак вместе с ИП?
Ставлю на своей машине твой МАК и твой ИП - и что твои правила мне скажут?
| | |
| 2.18, Krigs (?), 04:21, 02/11/2004 [^] [^^] [^^^] [ответить] | +/– |  Привет, прочел Вашу заметку на opennet ru Не обязательно писать на перле скрипт ... большой текст свёрнут, показать | | |
|
| 1.11, macarena (?), 16:31, 22/01/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно будет на всех?? | | |
| |
| 2.12, dmitry (?), 08:06, 23/01/2004 [^] [^^] [^^^] [ответить]
| +/– |
>можно-ли в сетке ставить эту привязку только на одного юзера?? или нужно
>будет на всех??
имеется ввиду, что поставить связку на две пары Ip+mac, а остальные чтобы динамически не добавлялись?
Если так, то можно на все остальные ip прописать связку на mac 00:00:00:00:00:00 или просто утановить политику по умолчанию DROP, а на первые два ip ACCEPT + проверку ip+mac.
| | |
|
| 1.16, Igoris Iseberg (?), 02:21, 04/06/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я думаю, что эту проблему можно решить так (хотя, если учитывать возможность замены МАС адреса, это все-таки половинчатое решение)
1. В firewall прописываем все! возможные (даже в данный момент несуществующие) ip адреса сети и указываем на них необходимые pipe или deny.
2.В программе учета траффика учитываем эти несуществующие ip-адреса, это даст возможность отлова несанкционираванных подключений по ip-адресу
2. В /etc/hosts ip-адреса привязываем к именам хостов.
3. Создаем файл, напр. /etc/filename, в котором привязываем имена хостов к МАС адресам (формат файла: hostname MAC_addr
Несуществующим машинам присваиваем произвольные (несуществующие) МАС адреса.
4. Запускаем arp с ключом -f:
arp -f /etc/filename | | |
| |
| 2.19, Axel (??), 19:40, 23/11/2004 [^] [^^] [^^^] [ответить]
| +/– | |
Конечно выход, но блин если у тебя несколько подсетей то это сколько же нужно сидеть пописывать | | |
| 2.20, grok (??), 06:10, 01/12/2004 [^] [^^] [^^^] [ответить]
| +/– | |
А вот как заставить netbios-имена клиентов соответствовать именам в /etc/filename? Ведь очень часто пользователи происзвольно меняют имена машин. Ставить самбу с nmbd? | | |
|
| 1.21, light (??), 10:44, 03/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 а есть какой нить вариант для рутера на винде?
сеть маленькая, но умники, меняющие ипы тоже имеются
может какая нибуть сторонняя програмка есть? | | |
| |
| 2.22, Dmitry (??), 14:56, 03/03/2005 [^] [^^] [^^^] [ответить]
| +/– |
>а есть какой нить вариант для рутера на винде?
>сеть маленькая, но умники, меняющие ипы тоже имеются
>
>может какая нибуть сторонняя програмка есть?
В windows 2003 server, есть arp.exe - жесткая привязка мак к ип.
arp /? - и там всё интуитивно понятно.
| | |
|
| 1.23, light (??), 08:25, 06/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
просто в 2000 серв такое тоже есть, но работать не захотело... не обязано? | | |
| |
| 2.24, Dmitry (??), 15:17, 28/03/2005 [^] [^^] [^^^] [ответить]
| +/– |
>просто в 2000 серв такое тоже есть, но работать не захотело... не
>обязано?
нет
| | |
|
| 1.25, light (??), 19:40, 28/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 проверил на 2003 серв... аналогично.. работать не захотело ))
пускает как ип с другим маком, так и мак с другим ипом...
мож в 2003 как на фре есть какиенить "опции ядра" ? )))
(фантастика) | | |
|
