LINUX.ORG.RU
ФорумAdmin

Авторизация доступа в инет


0

0

Был у дружка в конторе, и удивил ихний выход в инет (НТ конечно) - при открытии Експлорера выскакивает окошко с требованием ввода логина и пароля. На вопрос о IP и ARP(MAC) адресах, было отвечено, что их можно тупо поменять на те, какие хочется и все равно выйти в инет. Ну и на два возникших вопроса хочеться получить ответы. Первое, что ARP(MAC) адреса можно поменять? Мне всегда думалось, что они вшиты в карточку... Второе, а как под линухом организовать аналогичный выход через окошко?... Ну и третье... Как вообще поуму разрешать выход в инет только определенным лицам? (Ответы типа поставить шлагбаум или толкового майора непринимаются)

anonymous

ох блин эти штучки IP да arp
про окошко с паролем squid с авторизацией ncsa
Ну а про смену IP и ARP блин да купите вы маршрутизаторы вместо
хабов и пропишите мол вот с этого порта могет тока этот arp адресс
и заморозте таблицу соответствия arp - IP
Да мазохизм полный !
PS: а есче для важности акромя пароля, на в ipchains прописать
те IP с которых можно лезти к проксе !!!

ООО это будет круто но админов будет больше чем рабочих!!!
Лозунг по админу на ХАБ!
Ну вот непонимаю я чего не дать доступ всем наХ--- еще то инет
нужен ???
меню седня заглавная финансовая директор просветила
- Инет это серьезные затраты !!!
во блин он еще деньги приносит -- какие-же это затраты!

Aleks_IZA
()

Так ведь, собственно, в этом и проблема — кому надо без труда определит "разрешенные" IP и ARP и пропишет себе

Так ведь, собственно, в этом и проблема -- кому надо без труда определит "разрешенные" IP и ARP и пропишет себе.. и будет себя самым умным считать...

anonymous
()

Ответ на третьий вопрос:

1) хабы к которым подключены юзеры заменить на управляемые коммутаторы (switch), так чтобы отдельный юзер висел на отдельном порту коммутатора

2) настроить каждый порт коммутатора, так чтобы он пускал только траффик с одного MAC адреса. Таким образом если человек меняет себе MAC адрес (такое вполне возможно - правда сам еще не проверял) в сеть он попасть больше не может

3) поставить на ближайший к пользователю сервер ядро 2.4 и настроить iptables, где для каждого юзера создать по отдельному правилу:

... -s <user_ip_addr> -m mac --mac-source <user_mac_addr> ...

И не надо никаких паролей...
Если пользователь меняет себе или IP, или MAC сеть он больше не увидит.. ;-))


Успехов

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.