Re: Dostep uzytkownikow do sieci.
On Wed, 3 Sep 2003, Jarek Michalak wrote:
> Witajcie specjalisci.
> Pytanie z ktorym sie do was zwracam jest dla was pewnie trywialne.
> Jest sobie serwer DHCP i rozdaje adresy IP po nazwie hosta i MacAdresie
> karty. W pliku dhcpd.conf nie jest zdefiniowany zaden "range". Myslalem
> ze inne komputery nie wystepujace na liscie hostow ktora stworzylem nie
> beda mieli dostepu do sieci bo nie dostana IP i pozostalych ustawien
> (jak brama) od serwera DHCP.
> Otoz nic mylnego. Jesli ktos zna moja podsiec i wpisze recznie
> ustawienia i trafi na adres z podsieci ktory nie znajduje sie w
> ustawieniach dhcpd.conf dla uzytkownikow to normalnie laczy sie z
> internetem.
> 1. Jak to zablokowac?
> 2. Jak powinna wygladac regula iptables do wpuszczania userow tylko z konkretnym MacAdresem?
> Jak dziala taka regula dla pozostalych uzytkownikow. Czy blokuje
> jedynie dostep do uslug serwera. Czy blokuje kompletnie wszystko?
po pierwsze. dlaczego podlaczasz do lanu osoby ktorych nie chcesz?
jesli chodzi o blokowanie, to na firewallu musisz zrobic:
1. static ARP
2. filtrowanie IP lub MAC (dla MAC static ARP jest niepotrzebny)
3. stosujesz switch, ktory potrafi przepusczac tylko wybrane MAC na
wybranych gniazdkach
jesli pkt. 3 jest nie do osiagniecia, to sposoby 1 i 2 beda polsorkiem,
bo user i tak moze ukrasc komplet MAC+IP.
zamiast tego mozesz stosowac:
1. VPN (koniecznosc freeswan i instalacji softu ipsec na windowsach)
2. pppoe - autoryzacja na ethernecie. na win9x i starszych trzeba
instalowac soft do pppoe
punkt 2 jest slaby, ale wystarczajacy.
mozesz tez zrobic jak to robi tpsa w niektorych dostepach do internetu.
czyli ladujesz sie na specjalna strone www, logujesz, w odpowiedzi
firewall zaczyna cie przepuszczac.
znik.
Reply to: