Svazani MAC s IP.
Napsal: 24 Nov 2005 11:22
Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
classic.ISPforum.cz
Fórum československých telekomunikací
https://classic.ispforum.cz/
Svazani MAC s IP.
Stránka 1 z 5
Svazani MAC s IP.
Napsal: 24 Nov 2005 11:35
Já to mám nastavene přes firewall v pravidlech a funguje to docela dobre.
Re: Svazani MAC s IP.
Napsal: 24 Nov 2005 13:43
pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Re: Svazani MAC s IP.
Napsal: 24 Nov 2005 13:49
oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
Re: Svazani MAC s IP.
Napsal: 24 Nov 2005 14:08
pepulis píše:oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
Tak, co se děje na druhé straně "drátu" asi neovlivníte
, resp. to z principu věci nejde. Teda pokud nevládnete nad klientama... Takže jedině ručně ARP. Jinak určitě lze logovat, co se děje, ale s tím neporadím - v MT jsem nováček. Možná by někdo zkušenější spíchnul nějakej script s alertem.Re: Svazani MAC s IP.
Napsal: 24 Nov 2005 16:12
oggo píše:pepulis píše:oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
Tak, co se děje na druhé straně "drátu" asi neovlivníte
No ovlivnit mozna ovlivnim. Nad klientama vladnu
Napsal: 24 Nov 2005 17:31
Doporučuji firewallové pravidlo. Pro 2.9.6
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=noTak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=noPokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Napsal: 24 Nov 2005 19:27
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Dekuju za ten priklad.
Napsal: 24 Nov 2005 21:13
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Jde to mnohem jednoduseji, nez mrskat milion pravidel do Firewallu.
Utvorit adress list se jmenem treba ALLOWED a ve Firewalu dat jedno pravidlo na tento file list.
Mnohem lepsi, rekl bych (pro prehlednost Firewallu).
Napsal: 24 Nov 2005 21:45
Ale on chcel asi MAC spolu s IP...
Napsal: 24 Nov 2005 21:55
skrebon píše:Ale on chcel asi MAC spolu s IP...
Ano MAC s IP. To v adress listu nejde.
Napsal: 24 Nov 2005 21:59
pepulis píše:skrebon píše:Ale on chcel asi MAC spolu s IP...
Ano MAC s IP. To v adress listu nejde.
SRY
Napsal: 25 Nov 2005 19:23
Tohla je dobrá základní prevence proti zmetkům co zkouší náhodně IPčka. Máme po síti spoustu mašin na Mikrotiku, a rád bych to nějak spravoval centrálně - jedno místo kam budu sypat IP+MAC a kde si to budou všechny Mikrotiky brát a nic jiného skrz sebe nepropustí.
Dá se něco takového realizovat a jak?
Dá se něco takového realizovat a jak?
Napsal: 26 Nov 2005 00:55
Ja to realizoval pouze na hlavnim Routeru s IPadresama. Ne MAC.
Zahazuju vsechny nepovolene IP.
Zahazuju vsechny nepovolene IP.
Napsal: 26 Nov 2005 10:13
Melo by to jit pres Radius