...jestlize kazdy uzivatel ma svoji branu. Tedy v jednom rozsahu /24 existuje celkem x ip adres, ktere jsou nastavene na MK a da se pres ne dostat na jeho www stranky. Zaznamenal jsem, ze se nekteri uzivatele snazi hadat jmena a hesla. Taky bych se chtel zeptat, pokud to nekdo resil, zda se da nejak zabranit zmene masky. Uzivatele maji masku 255.255.255.248, tim ma kazdy svoji branu a diky tomu pak ridim i lokalni provoz na AP a mezi nimi. Jakmile si ale nekdo zmeni masku na 255.255.255.0 obchazi pravidla rizeni datoveho toku. Slo by nejak svazat napr. ip s maskou, nebo neco podobneho?
Diky predem.
PS: Mam pocit, ze se to tady asi uz resilo, ale nemuzu to nikde najit.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jak znepristupnit uzivatelum pripojeni na www stranky MK....
pepulis píše:...jestlize kazdy uzivatel ma svoji branu. Tedy v jednom rozsahu /24 existuje celkem x ip adres, ktere jsou nastavene na MK a da se pres ne dostat na jeho www stranky. Zaznamenal jsem, ze se nekteri uzivatele snazi hadat jmena a hesla. Taky bych se chtel zeptat, pokud to nekdo resil, zda se da nejak zabranit zmene masky. Uzivatele maji masku 255.255.255.248, tim ma kazdy svoji branu a diky tomu pak ridim i lokalni provoz na AP a mezi nimi. Jakmile si ale nekdo zmeni masku na 255.255.255.0 obchazi pravidla rizeni datoveho toku. Slo by nejak svazat napr. ip s maskou, nebo neco podobneho?
Diky predem.
PS: Mam pocit, ze se to tady asi uz resilo, ale nemuzu to nikde najit.
řešení to je ale problém že jednak na mikrotiku budeš muset mít bránu pro každého uživatele a další věc je že pro každého uživatele "utopíš" 4 ip adresy z toho pro něho fyzicky budeš moct použít jen 2. Hádání hesel je "hádání" pravděpodobnost uhodnutí hesla je minimální, teda pokud nepoužíváš admin/admin a nebo admin/kacenka123
pokud je to cílený neustále se opakující útok z jedné IP, není problém zakázat třeba té IP port 8291 na mikrotik, nebo třeba oznámit uživateli že o tom víš, většinou toho pak nechají
0 x
Leeonek píše:pepulis píše:...jestlize kazdy uzivatel ma svoji branu. Tedy v jednom rozsahu /24 existuje celkem x ip adres, ktere jsou nastavene na MK a da se pres ne dostat na jeho www stranky. Zaznamenal jsem, ze se nekteri uzivatele snazi hadat jmena a hesla. Taky bych se chtel zeptat, pokud to nekdo resil, zda se da nejak zabranit zmene masky. Uzivatele maji masku 255.255.255.248, tim ma kazdy svoji branu a diky tomu pak ridim i lokalni provoz na AP a mezi nimi. Jakmile si ale nekdo zmeni masku na 255.255.255.0 obchazi pravidla rizeni datoveho toku. Slo by nejak svazat napr. ip s maskou, nebo neco podobneho?
Diky predem.
PS: Mam pocit, ze se to tady asi uz resilo, ale nemuzu to nikde najit.
řešení to je ale problém že jednak na mikrotiku budeš muset mít bránu pro každého uživatele a další věc je že pro každého uživatele "utopíš" 4 ip adresy z toho pro něho fyzicky budeš moct použít jen 2. Hádání hesel je "hádání" pravděpodobnost uhodnutí hesla je minimální, teda pokud nepoužíváš admin/admin a nebo admin/kacenka123
Ne ne nejedna se o zadny cileny utok. Jen jsem to chtel nejak zabezpecit a uhodnuti hesla asi nepripada v uvahu, je to kombinace pismen a cisel o delce 15 znaku. Dobre a co zabezpeceni zmeny masky? Diky.
0 x
Leeonek píše:když si to představíš, klient si dá masku /24 tím měl by vidět všechny pc co jsou v této masce ale oni neuvídí jeho, takže podle mě mu ani nebudou schopní odpovědět tudíž se ani on na ně nebude moct dostat, ovšem chce to zkusit.
Ja to praveze zkousel. Spis jsem to videl jak to jede s maskou /24. Nevim jestli se videli v okolnich pc, ale ftp jim mezi sebou jelo a jinak, nez podle QT, ktere meli nadefinovane. Jinak klienty mam na AP (CM9) nastaveny tak, ze se muzou videt.
0 x
pepulis píše:Leeonek píše:když si to představíš, klient si dá masku /24 tím měl by vidět všechny pc co jsou v této masce ale oni neuvídí jeho, takže podle mě mu ani nebudou schopní odpovědět tudíž se ani on na ně nebude moct dostat, ovšem chce to zkusit.
Ja to praveze zkousel. Spis jsem to videl jak to jede s maskou /24. Nevim jestli se videli v okolnich pc, ale ftp jim mezi sebou jelo a jinak, nez podle QT, ktere meli nadefinovane. Jinak klienty mam na AP (CM9) nastaveny tak, ze se muzou videt.
no pokud jsi jim všem nastavil masku /24 tak to neomezíš, zkus na jednom nastavit např /30 a z něho zkus pingnout na ostatní, podle mě na ně neuvidí a tudíž by neměla být ani odezva
0 x
Leeonek píše:pepulis píše:Leeonek píše:když si to představíš, klient si dá masku /24 tím měl by vidět všechny pc co jsou v této masce ale oni neuvídí jeho, takže podle mě mu ani nebudou schopní odpovědět tudíž se ani on na ně nebude moct dostat, ovšem chce to zkusit.
Ja to praveze zkousel. Spis jsem to videl jak to jede s maskou /24. Nevim jestli se videli v okolnich pc, ale ftp jim mezi sebou jelo a jinak, nez podle QT, ktere meli nadefinovane. Jinak klienty mam na AP (CM9) nastaveny tak, ze se muzou videt.
no pokud jsi jim všem nastavil masku /24 tak to neomezíš, zkus na jednom nastavit např /30 a z něho zkus pingnout na ostatní, podle mě na ně neuvidí a tudíž by neměla být ani odezva
Ne ne oni maji vsichni mit masku /29, tak jak jsem uvedl na zacatku. Kazdy ma z daneho okruhu jednu ip jako branu (=nastavena na MK). Videt se vidi, coz je udelane schvalne, aby si mohli od sebe tahat, ale jen rychlosti ktera je definovana v QT. Pro tento ucel je vytvoreno znackovani paketu v siti, ktere funguje jen za predpokladu ze maji masku /29. Jakmile si ji zmeni na /24 tak sice vse jim jede, ale zacnou obchazet pravidla pro znackovani a hlavne pro QT.
0 x
Preco je povoleny forwrading, ked je siet rozsekana na subnety? Predsa 28bit maska(prupadne29) urcuje kazdeho uzivatela dotazom na ineho, ist cez router, cize forwarding natvrdo vypnut a zmena masky na 24bit bude mozna, ale bez akejkolvek komunikacie. Cize user si tu masku radsej ponecha, aby mu to aspon trosicku islo, nez vobec v lokalnej sieti.
0 x
skrebon píše:Preco je povoleny forwrading, ked je siet rozsekana na subnety? Predsa 28bit maska(prupadne29) urcuje kazdeho uzivatela dotazom na ineho, ist cez router, cize forwarding natvrdo vypnut a zmena masky na 24bit bude mozna, ale bez akejkolvek komunikacie. Cize user si tu masku radsej ponecha, aby mu to aspon trosicku islo, nez vobec v lokalnej sieti.
Ano to souhlasim, ale nestane se to, ze po vypnuti forwarding (CM9, CM10), uzivatele nebudou moct mezi sebou tahat data. Tj. tedy vyuzivat FTP atd. , hrat hry apod? Protoze tohle bych jim nechtel zakazovat.
0 x
pepulis píše:skrebon píše:Preco je povoleny forwrading, ked je siet rozsekana na subnety? Predsa 28bit maska(prupadne29) urcuje kazdeho uzivatela dotazom na ineho, ist cez router, cize forwarding natvrdo vypnut a zmena masky na 24bit bude mozna, ale bez akejkolvek komunikacie. Cize user si tu masku radsej ponecha, aby mu to aspon trosicku islo, nez vobec v lokalnej sieti.
Ano to souhlasim, ale nestane se to, ze po vypnuti forwarding (CM9, CM10), uzivatele nebudou moct mezi sebou tahat data. Tj. tedy vyuzivat FTP atd. , hrat hry apod? Protoze tohle bych jim nechtel zakazovat.
Budu moct ale nie ako predtym, po plochej sieti, ale skrz router... A teda router, ktory ich rychlostne moze a nemusi pribrzdit...
0 x
skrebon píše:pepulis píše:skrebon píše:Preco je povoleny forwrading, ked je siet rozsekana na subnety? Predsa 28bit maska(prupadne29) urcuje kazdeho uzivatela dotazom na ineho, ist cez router, cize forwarding natvrdo vypnut a zmena masky na 24bit bude mozna, ale bez akejkolvek komunikacie. Cize user si tu masku radsej ponecha, aby mu to aspon trosicku islo, nez vobec v lokalnej sieti.
Ano to souhlasim, ale nestane se to, ze po vypnuti forwarding (CM9, CM10), uzivatele nebudou moct mezi sebou tahat data. Tj. tedy vyuzivat FTP atd. , hrat hry apod? Protoze tohle bych jim nechtel zakazovat.
Budu moct ale nie ako predtym, po plochej sieti, ale skrz router... A teda router, ktory ich rychlostne moze a nemusi pribrzdit...
No prave ja se bojim toho zakazani forwardingu, protoze jak uz jsem to resil zde viewtopic.php?t=647&highlight=cm9 tak mi to nejelo. Zkusim to tedy jeste jednou a snad jim to FTP v lokalu pojede. Smer inet jel bez problemu.
0 x
pepulis píše:skrebon píše:pepulis píše:skrebon píše:Preco je povoleny forwrading, ked je siet rozsekana na subnety? Predsa 28bit maska(prupadne29) urcuje kazdeho uzivatela dotazom na ineho, ist cez router, cize forwarding natvrdo vypnut a zmena masky na 24bit bude mozna, ale bez akejkolvek komunikacie. Cize user si tu masku radsej ponecha, aby mu to aspon trosicku islo, nez vobec v lokalnej sieti.
Ano to souhlasim, ale nestane se to, ze po vypnuti forwarding (CM9, CM10), uzivatele nebudou moct mezi sebou tahat data. Tj. tedy vyuzivat FTP atd. , hrat hry apod? Protoze tohle bych jim nechtel zakazovat.
Budu moct ale nie ako predtym, po plochej sieti, ale skrz router... A teda router, ktory ich rychlostne moze a nemusi pribrzdit...
No prave ja se bojim toho zakazani forwardingu, protoze jak uz jsem to resil zde viewtopic.php?t=647&highlight=cm9 tak mi to nejelo. Zkusim to tedy jeste jednou a snad jim to FTP v lokalu pojede. Mam ale pocit ze si zde protireci vyznam forwardingu a toho, co se zde pise. Predce ten forwarding je tam kvuli tomu zakazani videt okolni PC.
0 x
pepulis píše:
No prave ja se bojim toho zakazani forwardingu, protoze jak uz jsem to resil zde viewtopic.php?t=647&highlight=cm9 tak mi to nejelo. Zkusim to tedy jeste jednou a snad jim to FTP v lokalu pojede. Mam ale pocit ze si zde protireci vyznam forwardingu a toho, co se zde pise. Predce ten forwarding je tam kvuli tomu zakazani videt okolni PC.
To sice je pravda, ale podle toho jak mas navrzenou sit, tak ty forwarding ani nepotrebujes mit zapnuty. Forwarding by mel fungovat v ramci jednoho wlan rozhranni(aspon ja si myslim). A tvoje komunikace v ramci jedne wlan by mela probihat nasledovne:
client -> (wlan) RB -> (lan) RB -> router -> (lan) RB AP-> (wlan) RB AP -> client 2.
forwarding by mel zakazovat viditelnost pri nasledovnem spojeni:
client -> (wlan) RB -> client 2.
A jelikoz tvoje spojeni probiha pres router, tak by se forwarding uplatnovat nemel.
Toto je muj pohled na vec a je mozne ze tapu blbostim,ale podle me by to tak melo fungovat. Nemam to odzkousene, takze kdyztak me zkusenejsi opravte.
0 x
knedlik píše:pepulis píše:
No prave ja se bojim toho zakazani forwardingu, protoze jak uz jsem to resil zde viewtopic.php?t=647&highlight=cm9 tak mi to nejelo. Zkusim to tedy jeste jednou a snad jim to FTP v lokalu pojede. Mam ale pocit ze si zde protireci vyznam forwardingu a toho, co se zde pise. Predce ten forwarding je tam kvuli tomu zakazani videt okolni PC.
To sice je pravda, ale podle toho jak mas navrzenou sit, tak ty forwarding ani nepotrebujes mit zapnuty. Forwarding by mel fungovat v ramci jednoho wlan rozhranni(aspon ja si myslim). A tvoje komunikace v ramci jedne wlan by mela probihat nasledovne:
client -> (wlan) RB -> (lan) RB -> router -> (lan) RB AP-> (wlan) RB AP -> client 2.
forwarding by mel zakazovat viditelnost pri nasledovnem spojeni:
client -> (wlan) RB -> client 2.
A jelikoz tvoje spojeni probiha pres router, tak by se forwarding uplatnovat nemel.
Toto je muj pohled na vec a je mozne ze tapu blbostim,ale podle me by to tak melo fungovat. Nemam to odzkousene, takze kdyztak me zkusenejsi opravte.
Sipus si popel na hlavu. Kdyz jsem zacinal s CM9 a zkousel jsem tohle a mel byply forwarding tak mi to neslo, vcera jsem to zkusil opetovne a bez problemu vse jede jak ma. Omlouvam se za paniku.
0 x
DHCP... na DHCP serveru si vytvoř adresy v ip/address, po té si nastav v ip/dhcp-server/ networks rozsahy (např:192.168.1.0/29, 192.168.1.8/29..) Zde máš možnost měnit i bránu, dns... No a pak v ip/dhcp-server/leases si k MAC uživatele přiděl potřebnou IP. U uživatele musíš nastavit IP přidělenou DHCP...
Tak to mám já
Tak to mám já
0 x