❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Svazani MAC s IP.
Svazani MAC s IP.
Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
0 x
pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
0 x
oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
0 x
pepulis píše:oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
Tak, co se děje na druhé straně "drátu" asi neovlivníte
, resp. to z principu věci nejde. Teda pokud nevládnete nad klientama... Takže jedině ručně ARP. Jinak určitě lze logovat, co se děje, ale s tím neporadím - v MT jsem nováček. Možná by někdo zkušenější spíchnul nějakej script s alertem.
0 x
oggo píše:pepulis píše:oggo píše:pepulis píše:Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.
Šel bych přes ARP...
Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?
Tak, co se děje na druhé straně "drátu" asi neovlivníte
No ovlivnit mozna ovlivnim. Nad klientama vladnu
0 x
-
Jan Kořistka
- Příspěvky: 26
- Registrován: 20 years ago
- Bydliště: Opava
- Kontaktovat uživatele:
Doporučuji firewallové pravidlo. Pro 2.9.6
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=noTak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=noPokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
0 x
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Dekuju za ten priklad.
0 x
-
LaSolitaire
- Příspěvky: 82
- Registrován: 20 years ago
- Kontaktovat uživatele:
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Jde to mnohem jednoduseji, nez mrskat milion pravidel do Firewallu.
Utvorit adress list se jmenem treba ALLOWED a ve Firewalu dat jedno pravidlo na tento file list.
Mnohem lepsi, rekl bych (pro prehlednost Firewallu).
0 x
-
LaSolitaire
- Příspěvky: 82
- Registrován: 20 years ago
- Kontaktovat uživatele:
Tohla je dobrá základní prevence proti zmetkům co zkouší náhodně IPčka. Máme po síti spoustu mašin na Mikrotiku, a rád bych to nějak spravoval centrálně - jedno místo kam budu sypat IP+MAC a kde si to budou všechny Mikrotiky brát a nic jiného skrz sebe nepropustí.
Dá se něco takového realizovat a jak?
Dá se něco takového realizovat a jak?
0 x
-
LaSolitaire
- Příspěvky: 82
- Registrován: 20 years ago
- Kontaktovat uživatele:
Melo by to jit pres Radius
0 x