Mac address list

[fblaha]

Dobrý den,
netušíte, zda se dá na MK na úrovni bridge filtrovat MAC adresa podle nějakého definovaného address listu? Mám za bridgem nějakého experta, co se připojuje čas od času do sítě něčím neautorizovaným a co čert nechtěl, umí si nastavit ručně IP , takže IP FW a jeho address listy v úvahu nepřipadají. Nastavit filtr na jednu mac adresu a nebo mac masku umím, ale chtěl bych spíš použít address list - preventivně. Něěco ve smyslu - povolené ano, zbytek disabled.

Ne že by to bylo 100% řešení, mac se dá taky změnit, ale alespoň bych mu trošku znepříjemnit život (než začnu běhat kolem sítě s baseballovou pálkou).

Děkuji za radu

[ludvik]

Jednu MAC zakážeš vcelku jednoduše ... větší množství taky, byť ne tak efektivně jako IP pomocí address-listů.

Ale jestli tě dobře chápu - používáš DHCP? Zapni tam add arp for leases a na interface zapni ARP reply-only. Pak si může měnit co chce.
Máš-li v tomto případě zároveň lepší switche, zapni ověřování u nich. dhcp-snooping, arp validation, source address validation nebo jak se všechny ty fičurky využívající DHCP databázi jmenují.

[fblaha]

Lepší switche tam nemám, s velikostí bohatě postačuje jeden CRS125, jenomže to tam nejsem fyzicky, abych mohl zjistit, kdo si to hraje. DHCP tam používám, jenomže potíž je v tom, že když si někdo na zařízení, které nemám pod kontrolou natvrdo nastaví IP, tak mi ARP reply-only pravděpodobně moc nepomůže (ne že bych to tak rychle vyzkoušel, ale trošku o tom pochybuji).
Určitě by pomohlo, kdyby MK uměl pořádně podporovat EAPOL a dokázal podle toho ve spolupráci s RADIUSem dynamicky nastavit VLANy. Holt to zatím neumí. Otázka, jestli na IPv4 někdy vůbec bude, když jsou všichni pobláznění za IPv6. Jenomže to je jenom takový marný pláč. Musím pracovat s tím, co je a opravdu chytrý switch tam teď nedostanu.

Právě proto jsem se pídil po možnosti nějakého address listu na MAC adresy na úrovni bridge. To, že jsem to nenašel ještě neznamená, že to tam není.

[jarda.jezek]

DHCP umí přidat přidělenou ip do address listu. ten pak lze použít jako whitelist a nic jiného nepustit. To by nestačilo?

[fblaha]

Ano a ne. Za předpokladu, že rovnou nepřijdu s hotovou konfigurací. Ale tady to asi nebude. To bych mohl opravdu koupit managovatelný L3 switch, který podobný filtr podporuje.

Jak tenhle "white list" využít? Tak, jak psal ludvik - v DHCP add arp for leases a na interface ARP reply-only ?

[ludvik]

arp-reply-only znamená, že si neupravuje ARP tabulku standardním způsobem. Takže ať si ten dotyčný přinese cokoliv, nebude fungovat. Router prostě nebude vědět, komu ten paket poslat. A jelikož mu ty údaje vyplní DHCP server - tak s takovými zařízeními komunikovat zvládne. Výsledek - fungují jen zařízení nakonfigurované DHCP serverem. A to dokonce jen tím tvým ...

Teoreticky jen v rámci switche s jinými zařízeními bude moci komunikovat, ale to určitě nechce. A zamezit tomu dokáže fakt jen switch. A jelikož switch nemáš, tak ti tohle prostě musí stačit.

[fblaha]

Rozumím, a pro fixní adresy, jako jsou třeba servery musím doplnit arp tabulku na MK ručně (+ preventivně rezervaci na DHCP).
To by šlo. Tak hurá do toho.