контроль маков

[ser970]

разработан модуль контроля маков в сети (имеется ввиду плоские сети - где арп таблица на сервер доступа)
что может
1.  записывает маки в доп поле
         а. когда у зверя поле мак пустое при - если етого мака еще небыло в сети вооще или был у зверя у кторого счас другой мак.
         б. когда у зверя был другой мак при - если етого мака еще небыло в сети вооще или был у зверя у кторого счас другой мак.
2.  ведет лог (если надо допишу веб лог кто на какой апи сменил имеется ввиду подмена апи)
3. все подмены бросаются в ipfw table 50 (можно любой номер )
      тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....)
    
запуск по крону или вертушкой кому как нравится. если до 300 записей то можно раз в минуту.
 
цена 60 бакс.

[versus]

годное дело!

[smallcms]

Код:

[root@inet /usr/local/nodeny]# cat ipguard.nomake
<file>/etc/ethers_first</file>
<reload>/root/script/ipguard_script</reload>
<filtr net='192.168.254.0/24' dopdata-mac='^..:..:..:..:..:..$' state='^on$'>
<ip>	<dopdata-mac>		#<lat_login>
<ip>	<dopdata-mac_dop>	#<lat_login>2
</filtr>

У нас вариант с баном имеется. Хорошая штука - ipguard.

[stix]

не стал заморачиваться 

Код:

vlan 570 vlandev em1 staticarp

[VitalVas]

а зачем так усложнять жизнь...
можно же просто прибить мас к порту.....

[ser970]

а зачем так усложнять жизнь...
можно же просто прибить мас к порту.....

и опцию 82 использовать ... на тупых свичах.

по поводу номаке ... а собрать маки и записать ?

[ser970]

разработан модуль контроля маков в сети (имеется ввиду плоские сети - где арп таблица на сервер доступа)
что может
1.  записывает маки в доп поле
         а. когда у зверя поле мак пустое при - если етого мака еще не было в сети вообще или был у зверя у кторого счас другой мак.
         б. когда у зверя был другой мак при - если этого мака еще не было в сети вообще или был у зверя у которого сейчас другой мак.
2.  ведет лог (если надо допишу веб лог кто на какой апи сменил имеется ввиду подмена апи)
3. все подмены бросаются в ipfw table 50 (можно любой номер )
      тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообще то есть еще пару вариантов типа смс - генерации пакетов - или....)
    
запуск по крону или вертушкой кому как нравится. если до 300 записей то можно раз в минуту.
 
цена 60 бакс.

тоже самое есть для пппое
отличие нет 3 пункта. просто не устанавливает соединение.
если новая сетевуха достаточно просто через 1-2мин повторно клиенту подключится и сменится мак в доп данных и пустит в инет.

[Андрій]

3. все подмены бросаются в ipfw table 50 (можно любой номер )
      тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....)

А якщо хтось почне собі ставити поступово ір всіх користувачів в мережі то, всі вони заблокуються ? Є можливість кидати ір в цю таблицю на деякий час а потім видаляти ?

[ser970]

3. все подмены бросаются в ipfw table 50 (можно любой номер )
      тут варианты или тупо блокируем или перенаправляем на страницу заглушки.(ну вообщето есть еще пару вариантов типа смс - генерации пакетов - или....)

А якщо хтось почне собі ставити поступово ір всіх користувачів в мережі то, всі вони заблокуються ? Є можливість кидати ір в цю таблицю на деякий час а потім видаляти ?

само и удляет
и дополнительно заносит - находит по маку адрес єтого ... и в таблицу

[zmap]

А есть модуль для статической сети 10.1.0.0/28 что бы из доп. поля брался MAC и если MAC неправильный то абонента не пускало в Инет??? (или сколько будет стоить сделать???)

[stix]

отключи arp на интерфейсе роутера.
только статику

[zmap]

1.Есть абонентский отдел который имеет доступ только к Биллингу (к учетным записям абонентов), они вносят данные с договоров и вносят MAC адреса в доп. поле.
2.Есть сервер на котором установлен NoDeny и 5 шлюзов через которые абоненты выходят в интернет.
Хотелось бы сделать так что бы Биллинг сам сверял MAC адрес и если не правильный то не пускал в интернет, а локальная сеть была.

(у абонентов статический IP)

[stix]

Биллинг сам сверял MAC адрес и если не правильный то не пускал в интернет, а локальная сеть была.

здесь уже сложнее, оборудованию нужно сверять FDB таблицу с базой данных.
вариант без локальной сети жизнеспособный, я так себе делал

[Rico-X]

Без локалки легко, с локалкой вижу только вариант включить поддержку маков в IPFW заносить легитимные в отдельную таблицу и пускать в сеть, остальных форвардить на заглушку. Это в теории, на практике не реализовывал.

[elite]

из арп таблицы выявлять текущие ип для данных маков, а их уже в ipfw заносить