Re: [OT] Zabezpieczenie ip gatewaya

To: tamcapik@wp.pl, debian-user-polish@lists.debian.org
Subject: Re: [OT] Zabezpieczenie ip gatewaya
From: "Leonard Milcin, Jr" <thervoy@post.pl>
Date: Tue, 20 May 2003 12:38:15 +0200
Message-id: <3ECA0597.1080201@post.pl>
In-reply-to: <200305190157.36144@TamCaP-MailServer>
References: <1053248016.3948.28.camel@bartecki> <20030518134851.GA7004@melina.ds14.agh.edu.pl> <1053271378.5007.22.camel@bartecki> <200305190157.36144@TamCaP-MailServer>

Marek Łaska wrote:

Pewnego dnia (Sunday 18 of May 2003 17:22), niejak(i/a) barthoosh wystukał/ana klawiaturze:
ba>Wygląda na to, że to jedyne sensowne wyjście prowadzi w tą stronę.
Jeśli to ciągle aktualne - skonsultowałem temat z kolegą i coś takiego przedchwilą wpadło nam do głowy - to jest rozwiązanie czysto teoretyczne w tejchwili nic więcej nie mogę zaoferować
Na gateway-u dwa wejścia do LAN-u (nazwijmy je eth1 i eth2)
eth1 z adresem np. 10.0.0.1 pełni rolę adresu gateway-a/dhcp i czego tamchcesz jeszcze...eth2 z jakimś dziwnym, mało normalnym adresem typu: 10.221.72.106 czy cośtakiego, na który nikt nie wpadnie, pełni rolę "kontrolera"
1) wszystkie komputery dostają po dhcp od eth1 swoje adresy sieciowe
2) co np 5 min eth2 rozsyła sobie ARP-y i patrzy kto mu odpowiada
a) jeśli dostaje zwrotkę i jest w niej konflikt, adres eth1 jest zmienianyna "awaryjny" i dhcp rozsyła zawiadomienie o nowym adresie, wszyscy którzymają adres wpisany ręcznie tracą dostęp, jednocześnie admin dostaje np.e-maila, albo sms-a i może działać (czyt. dopaść usera)
  b) nie ma konfliktu - nie robi nic
To jest oczywiście wszystko bardzo steoretyzowane, ale myślę że metoda powinnazadziałać...
Pozdrawiam


Nie jestem za bardzo w temacie, bo usunąłem już część topika. Rozumiem,
że chodzi o przypisanie komputerom adresów ip, i pilnowaniu czy
przypadkiem ich sobie nie zmieniają, tak? Ja robiłem to w taki sposób:

Używałem DHCP. Interfejsy dostają stałe IP. Skrypt nasłuchuje ruchu
(tcpdump) na interfejsie wewnętrznym gatewaya, i sprawdza czy wszystko
się zgadza (tzn. pary MAC+IP). Jeżeli nie, to po którymś pakiecie wysyła
e-maila gościowi, mi, i generuje regułkę dla iptables (blokuje dany MAC
na jakiś określony czas - 1 minuta). Po upływie minuty blokada jest
zdejmowana. Maile nie są wysyłane częściej jak jeden e-mail na 24h do
człowieka, i 1 na 1h do mnie.

Miałem kiedyś problem z człowiekiem, który robił DoS-a innym
użytkownikom zmieniając swój adres MAC, ale szybko go wylookałem na
switchach (niestety niezarządzalnych).

Czy to jest to, o co chodziło?

Pozdrawiam

Leonard Milcin, Jr

--
"Unix IS user friendly... It's just selective about who its friends are."
                                                       -- Tollef Fog Heen

Reply to:

Follow-Ups:
- Re: [OT] Zabezpieczenie ip gatewaya
  - From: barthoosh <brachu@go2.pl>

References:
- Zabezpieczenie ip gatewaya
  - From: barthoosh <brachu@go2.pl>
- Re: [OT] Zabezpieczenie ip gatewaya
  - From: Marcin Owsiany <porridge@debian.org>
- Re: [OT] Zabezpieczenie ip gatewaya
  - From: barthoosh <brachu@go2.pl>
- Re: [OT] Zabezpieczenie ip gatewaya
  - From: Marek Łaska <tamcapik@wp.pl>

Prev by Date: Jak ustawic PHP zeby MYSQL chodzilo ??? HELP
Next by Date: Re: Zabezpieczenie ip gatewaya
Previous by thread: Re: [OT] Zabezpieczenie ip gatewaya
Next by thread: Re: [OT] Zabezpieczenie ip gatewaya
Index(es):
- Date
- Thread