Dediğiniz seviyede güvenlik için switchlerde port düzeyinde MAC sınırlaması yapmalısınız. Birisi sisteminize bağlansa bile switch diğer makinalara erişmesini engelleyecektir. On Fri, 2005-04-29 at 14:43 +0300, Çağatay Tengiz wrote: > Aslında derdim lan kablosunu takanın hiç bir şekilde lan'a bağlanamaması > (dolayısıyla worm vs. yaymaması) ama manuel ip atadığı sürece bunu > engelleyemem sanırım. > > Ama öneriniz ile en azından internete veya wlan çıkmasını > engelleyebiliriz. Aslında bende dhcp ve firewall ayrı makinelerde hizmet > veriyor. Bu durumda birleştirmek daha mantıklı sanki. > > > Can Burak Cilingir wrote: > > Merhaba, > > > > Umarım sorununuzu doğru anlamışımdır. > > > > Firewall düzeyinde mac adresi kısıtlaması yapabilirsiniz. iptables ya da > > benzer bir alt seviye araç kullanabilmenize ragmen kişisel tercihim > > shorewalldır. > > > > maclist dosyasında hangi interface üzerinde hangi mac adreslerinin aktif > > olabileceğini belirtebiliyorsunuz. Örnegin şu mac adresi eth0 dan > > gelebilir, şu ise wlan0 üzerinden erişebilir. bunun dışında herhangi bir > > mac adresine servis verme. > > > > Tabi elinizde akıllı switchler bulunuyorsa o katmanda yapmanız daha > > doğru olacaktır. > > > > MAC adresi bazında statik ip vermeye de devam etmenizi öneriyorum. > > > > On Fri, 2005-04-29 at 13:32 +0300, Çağatay Tengiz wrote: > > > >>Yerel ağdaki karışık win makinelere (95, 98, 2000, XP home, XP pro) > >>Debian'da DHCP ile IP veriyorum. > >> > >>Yalnız herhangi bir kullanıcı doğrulamam yok. Yani kabloyu takan yerel > >>ağıma bağlanabilir.. (ve bağlanıyorlar da...) Ve yerel ağ sayım şu anda > >>4. (4 farklı fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, > >>leased line vb. metodlar ile birbirine bağlı...) > >> > >>Böyle karmaşık kullanıcı işletim sistemlerine sahip bir ağ yapısında > >>yukarıdaki pozisyonu nasıl engelleyebilirim sizce? > >> > >>Bu konuda araştırmalarıma bana başlangıç noktası olacak bir fikriniz > >>varsa lütfen paylaşır mısınız? > >> > >>Benim aklıma gelenler : > >> > >>1. samba ile pdc emülasyonu ama win xp home, 95 ve 98 kullanıcıları ne > >>olacak? > >> > >>2. dhcp konfigürsayon dosyasına mac bazlı adres dağıtımı koymak. (ama bu > >>durumda biraz bilgisayar bilen dış ziyaretçi ip'sini eliyle verebilir) > >> > >>Teşekkürler.. > >> > > > > > -- Can Burak Çilingir | canburak@jabber.org http://canb.net/ | icq#10720999 http://knuth.cs.bilgi.edu.tr/~canburak/blog/index.php?entry=entry050410-145716
Attachment:
signature.asc
Description: This is a digitally signed message part