Detekce nových IP

[query]

zdravím,
potřeboval bych poradit, mám MK v režimu bridge a chtěl bych logovat nové adresy za ním.
udělal jsem ve firewallu pravidlo

Kód: Vybrat vše

add action=add-src-to-address-list address-list=Aktivni_IP address-list-timeout=0s chain=forward \
    comment="aktivni IP" disabled=no in-bridge-port=!ether1 \
    src-address-list=!Aktivni_IP
 

port 1 je směr net a port 2 do sítě.
normálně to funguje, ale začali se do toho zaznamenávat i adresy z veřejných rozsahů (např seznam).

může mi někdo osvětlit, pro se tak děje?
dík

[Tomáš Nesrsta]

tak si tam dopln že chces jenom adresy z urciteho rozsahu napr. 10.0.0.0/8

[query]

Jo, to je mi jasný, že přidáním omezení odfiltruju nežádoucí rozsahy. Ale myslel jsem, že v tom pravidle to už nebude třeba. Je o to, že chci detekovat všechny adresy, který se pohybujou v síti. Stalo se totiž, že se dva borci v síti domluvili a dali si ip z jiného rozsahu a přetížili AP. Už je tam udělaný opatření aby se to znova stát nemohlo, ale chci mít informaci, že se někdo pokouší měnit ip do jiného rozsahu.

[tom-tom]

Řešíš symptomy, namísto příčiny. V první řadě si uprav síť, tak aby v ní nebylo tolik volnosti, pak teprv logování pokusů o nějaké nepřístojnosti.

[query]

S prominutím, ale tyhle odpovědi vážně miluju. Nevíš o jakou se jedná síť, jaké jsou podmínky a možnosti. Síť není moje a nemůžu si jenom tak přijít a začít měnit topologii a ani to nejde jenom tak. Vím o dírách a hrozbách, který v tý síti jsou a jak jsem napsal, problém, že se někdo pokusí projít s jinou IP je už vyřešenej. Projdou pouze povolené adresy, ale já chci vidět, zda se o to někdo jenom pokouší nebo, jestli si doma někdo připojil router LANkou ven a podobně. A když už jsi se rozhodl připojit do tématu, tak alespoň napiš návrh řešení aby si alespoň nějak přispěl.

PS: jinak věřím, že mě v IT hravě strčíš do kapsy, o tom se přít nebudu.Ale o tom tohle téma není.

[ludvik]

Záměna symptomu s příčinou může být také daná ideologií V síti "czfree" musí být toho omezování co nejméně ... takže se hodí spíš upozorňovat na změny, než krutě omezovat. Ale záleží na úhlu pohledu. Krutý přístup je jednodušší pro správu ... ale horší (většinou) pro správce - s telefonem by pak člověk akorát nejradši praštil.

[tom-tom]

S prominutím, ale tyhle odpovědi vážně miluju. Nevíš o jakou se jedná síť, jaké jsou podmínky a možnosti. Síť není moje a nemůžu si jenom tak přijít a začít měnit topologii a ani to nejde jenom tak. Vím o dírách a hrozbách, který v tý síti jsou a jak jsem napsal, problém, že se někdo pokusí projít s jinou IP je už vyřešenej. Projdou pouze povolené adresy, ale já chci vidět, zda se o to někdo jenom pokouší nebo, jestli si doma někdo připojil router LANkou ven a podobně. A když už jsi se rozhodl připojit do tématu, tak alespoň napiš návrh řešení aby si alespoň nějak přispěl.

PS: jinak věřím, že mě v IT hravě strčíš do kapsy, o tom se přít nebudu.Ale o tom tohle téma není.

No tak sorry, nechtěl jsem se tě nějak dotknout. Chápu, že někdo může mít radost z každého nového řádku v logu. Ostatně, kdysi jsem nebyl jiný.
Ale už jsem navykl určitému pohodlí, že když něco nastavím, nemusím se o to starat a vím, že to pojede, dokud do toho nepraští blesk. A že mi z dohledového sw přijde sms v okamžiku, kdy to nutně potřebuje zásah člověka. Přesně vím, co se mi na rozhraní děje a co se může dít a to mi dává klidný spánek.

Ale sítě typu czfree mě fascinují z pohledu organizace, že každý switch má své jméno a vlastního administrátora a na to jaký je to moloch to funguje, tohle má můj obdiv, ale určitě bych se na něčem takovém nechtěl podílet.

[query]

nijak ses mě nedotknul a naprosto chápu tvůj pohled. Kdybych dělal vlastní síť budu taky chtít aby byla maximálně přehledná a robustní. Nicméně já jasem takový Ferda Mravenec a uklízím bordel po jiných "profících" většinou v menších podnikových sítích. Pokaždé je to uplně jiná situace, topologie a technologie. A začínám něco dělat až, když si s tím neví rady jejich samozvanej správce sítě, kterej končí u toho, že pozná koax od utp. Pokud ti spadne síť například v lyžařský škole, která je na tom kompletně závislá, tak musíš nejdřív rozchodit to co tam je, pak na tom udělat záplaty a teprve potom vymyslíš, nakreslíš a zdokumentuješ ideální řešení. Který většinou realizuje stejnej člověk, krerej to dělal dřív.

Ale zpět k otázce:
může mi někdo vysvětlit proč mi to pravidlo zapisuje i veřejný adresy?
Díky

[thanui.linux]

Jak už bylo zmíněno výše:
Přidej pravidlo, aby to logovalo jen adresy z lokálního rozsahu ... 10.0.0.0/8, 192.168.0.0/16 a 172.16.0.0/20 ( stačí jen ten který je využit ).