ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« : 07 Июня 2011, 20:45:33 » |
|
разработан модуль контроля маков в сети (имеется ввиду плоские сети - где арп таблица на сервер доступа) что может 1. записывает маки в доп поле а. когда у зверя поле мак пустое при - если етого мака еще небыло в сети вооще или был у зверя у кторого счас другой мак. б. когда у зверя был другой мак при - если етого мака еще небыло в сети вооще или был у зверя у кторого счас другой мак. 2. ведет лог (если надо допишу веб лог кто на какой апи сменил имеется ввиду подмена апи) 3. все подмены бросаются в ipfw table 50 (можно любой номер ) тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....) запуск по крону или вертушкой кому как нравится. если до 300 записей то можно раз в минуту. цена 60 бакс.
|
|
« Последнее редактирование: 07 Июня 2011, 20:47:53 от ser970 »
|
Записан
|
|
|
|
versus
|
|
« Ответ #1 : 07 Июня 2011, 23:59:57 » |
|
годное дело!
|
|
|
Записан
|
|
|
|
smallcms
NoDeny
Старожил
Карма: 64
Offline
Сообщений: 279
|
|
« Ответ #2 : 08 Июня 2011, 05:42:44 » |
|
[root@inet /usr/local/nodeny]# cat ipguard.nomake <file>/etc/ethers_first</file> <reload>/root/script/ipguard_script</reload> <filtr net='192.168.254.0/24' dopdata-mac='^..:..:..:..:..:..$' state='^on$'> <ip> <dopdata-mac> #<lat_login> <ip> <dopdata-mac_dop> #<lat_login>2 </filtr>
У нас вариант с баном имеется. Хорошая штука - ipguard.
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #3 : 08 Июня 2011, 06:40:03 » |
|
не стал заморачиваться vlan 570 vlandev em1 staticarp
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #4 : 08 Июня 2011, 08:08:07 » |
|
а зачем так усложнять жизнь... можно же просто прибить мас к порту.....
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #5 : 08 Июня 2011, 09:13:23 » |
|
а зачем так усложнять жизнь... можно же просто прибить мас к порту.....
и опцию 82 использовать ... на тупых свичах. по поводу номаке ... а собрать маки и записать ?
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #6 : 10 Июня 2011, 08:45:11 » |
|
разработан модуль контроля маков в сети (имеется ввиду плоские сети - где арп таблица на сервер доступа) что может 1. записывает маки в доп поле а. когда у зверя поле мак пустое при - если етого мака еще не было в сети вообще или был у зверя у кторого счас другой мак. б. когда у зверя был другой мак при - если этого мака еще не было в сети вообще или был у зверя у которого сейчас другой мак. 2. ведет лог (если надо допишу веб лог кто на какой апи сменил имеется ввиду подмена апи) 3. все подмены бросаются в ipfw table 50 (можно любой номер ) тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообще то есть еще пару вариантов типа смс - генерации пакетов - или....) запуск по крону или вертушкой кому как нравится. если до 300 записей то можно раз в минуту. цена 60 бакс.
тоже самое есть для пппое отличие нет 3 пункта. просто не устанавливает соединение. если новая сетевуха достаточно просто через 1-2мин повторно клиенту подключится и сменится мак в доп данных и пустит в инет.
|
|
|
Записан
|
|
|
|
Андрій
NoDeny
Старожил
Карма: 3
Offline
Сообщений: 294
|
|
« Ответ #7 : 14 Июня 2011, 14:38:04 » |
|
3. все подмены бросаются в ipfw table 50 (можно любой номер ) тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....)
А якщо хтось почне собі ставити поступово ір всіх користувачів в мережі то, всі вони заблокуються ? Є можливість кидати ір в цю таблицю на деякий час а потім видаляти ?
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #8 : 14 Июня 2011, 15:00:08 » |
|
3. все подмены бросаются в ipfw table 50 (можно любой номер ) тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....)
А якщо хтось почне собі ставити поступово ір всіх користувачів в мережі то, всі вони заблокуються ? Є можливість кидати ір в цю таблицю на деякий час а потім видаляти ? само и удляет и дополнительно заносит - находит по маку адрес єтого ... и в таблицу
|
|
|
Записан
|
|
|
|
zmap
|
|
« Ответ #9 : 06 Июля 2012, 16:34:54 » |
|
А есть модуль для статической сети 10.1.0.0/28 что бы из доп. поля брался MAC и если MAC неправильный то абонента не пускало в Инет??? (или сколько будет стоить сделать???)
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #10 : 06 Июля 2012, 16:40:17 » |
|
отключи arp на интерфейсе роутера. только статику
|
|
|
Записан
|
|
|
|
zmap
|
|
« Ответ #11 : 06 Июля 2012, 17:18:18 » |
|
1.Есть абонентский отдел который имеет доступ только к Биллингу (к учетным записям абонентов), они вносят данные с договоров и вносят MAC адреса в доп. поле. 2.Есть сервер на котором установлен NoDeny и 5 шлюзов через которые абоненты выходят в интернет. Хотелось бы сделать так что бы Биллинг сам сверял MAC адрес и если не правильный то не пускал в интернет, а локальная сеть была.
(у абонентов статический IP)
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #12 : 06 Июля 2012, 19:19:55 » |
|
Биллинг сам сверял MAC адрес и если не правильный то не пускал в интернет, а локальная сеть была.
здесь уже сложнее, оборудованию нужно сверять FDB таблицу с базой данных. вариант без локальной сети жизнеспособный, я так себе делал
|
|
|
Записан
|
|
|
|
Rico-X
NoDeny
Старожил
Карма: 7
Offline
Сообщений: 349
|
|
« Ответ #13 : 06 Июля 2012, 21:59:25 » |
|
Без локалки легко, с локалкой вижу только вариант включить поддержку маков в IPFW заносить легитимные в отдельную таблицу и пускать в сеть, остальных форвардить на заглушку. Это в теории, на практике не реализовывал.
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #14 : 06 Июля 2012, 22:49:59 » |
|
из арп таблицы выявлять текущие ип для данных маков, а их уже в ipfw заносить
|
|
|
Записан
|
|
|
|
|