LINUX.ORG.RU
ФорумAdmin

Юзвери прописывают IP шлюза. Как бороться.


0

0

Что-то последнюю неделю пошла мода у пользователей прописывать IP-адрес шлюза. В результате вся сеть лишается Инета.
Как с этим можно бороться?
В качестве шлюза выступает Debian-Linux.
arp -s на каждом клиенте не годится, ибо их (клиентов) порядка сотни.


>arp -s на каждом клиенте не годится, ибо их (клиентов) порядка сотни.

топой, но хороший метод

бацаешь скрипт куду пихаешь всех юзеров

для 200 машин он буит выполнятся около 0.5 сек - потерпеть можно :)

Pi ★★★★★
()
Ответ на: комментарий от Pi

Да не нужна мне привязка IP-MAC пользователей на маршрутизаторе.
Мне надо, чтобы если один пользователь сдуру прописал себе адрес шлюза, остальные ломились не на его машину, а на мой шлюз. arp -s нужен у клиента!
Говорят, что Cisco может задавать время жизни arp-записи в arp-ответе. Или что-то вроде того. Вроде как arp-ответ моего шлюза будет "весомее" ответа "неправильного" пользователя.
Можно ли нечто такое под Линуксом?

Gelin
() автор топика
Ответ на: комментарий от Pi

DHCP может прописывать MAC шлюза (не IP) у клиента?
Он же IP-адреса раздает.
К тому же DHCP не используется и использоваться не будет.

Gelin
() автор топика

что значит - "мода пошла" ??? насколько я понял сотня машин - это уже нормальная организация - так ? тогда административные меры - вот и весь ответ. какого извините х юзер лезет в сетевые настройки компа ? в-общем, бить по голове.

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

Ох. Это не организация, это "Домашняя Сеть".
Мы провайдер - они физики-клиенты. Административные меры срабатывают, ежели имеются управляемые коммутаторы - отрубил порт и все - жди звонка.
Вот только управляемые коммутаторы не везде есть, да и шаманить с адресами любят ночью, когда админ спит...
А "мода пошла" - это про феномен из теории вероятностей, когда маловероятные события любят "кучковатся". Ни разу до того никто не прописывал адреса шлюза, а на этой неделе - аж три раза в трех разных сетях...

Gelin
() автор топика
Ответ на: комментарий от Obidos

кстати, самый лучший вариант, от смены ипа он ничем не спасет, зато нельзя выставить чужой mac/ip и погулять на халяву, другое дело, геморроя прибавиться значительно...

majordomo
()
Ответ на: комментарий от majordomo

arpwatchем и наблюдаю.
VPN VPNом, но до VPN сервера тоже достучаться надо, а этот гад себе адрес шлюза взял.

Я, конечно, понимаю, что:
1. имея arpwatch можно увидеть, когда меняется мак наблюдаемого ip-шника
2. имея жесткую привязку маков и ip-шиков, можно определить "правильный" ip-адрес шалунишки
3. имея базу абонентов с их ip-адресами и портами на управляемых коммутаторах, можно без шума и крика по SNMP сразу зарубить обидчика.
Все это имеется. Но неохота весь этот сташный огород городить, если существует какое-нибудь простое и эффективное решение.
О нем и спрашиваю...
Говорите уж прямо, что иначе проблема не решается.

Gelin
() автор топика

Лехко.

Берешь понижающий транс 220 - > 127, ток во вторичной обмотке не менее

3А.

На свиче вытаскиваешь сосок, сменившего ип, замыкаешь вторичную обмотку

на контакты разъема.

Через месяц, используя методы корелляционного анализа, физики прийдут

к выводу, что смена ип приводит к отказу сетевухи и делать это

перестанут.

Sun-ch
()
Ответ на: комментарий от Gelin

IMHO, самое простое для этих целей PPPoE (дежавю, пару страниц назад говорил). Там в ethernet среде ходят PPP ракеты (не IP).

qwe ★★★
()
Ответ на: комментарий от qwe

сам попадал в такую ситуацию.
У меня ip привязаны к mac на iptables но защитится от "дурака" это не помогает.
Вот два случая из жизни,сеть домашний интернет(роутер и куча repotec switchей за 20$ клиентов ~35-40).

1)Один мудила купил Wireless Access Point, а у этой штуковины по defaultu ip=192.168.1.1 и web-интерфейс
( Когда делал роутер не мог подумать, что лучше для gw использовать ip отличный от 192.168.1.1)
Ну вот этот мудила врубил свой дэвайс в сеть, компы теряют gw, гневные звонки, добираюсь до компа всё работает звонков нет(наверно мудила понял, что установка супер device для него слишком сложна и решил отложить свою затею на завтра).
На следующий день похожий глюк,я пишу пинг 192.168.1.1 отвечает, короче через 5 минут запарок понимаю,
что у ip 192.168.1.1 mac не моего routera,которого я и не помнил
(специфика работы, знаешь mac особо выдающихся клиентов, но не своей).
Нашёл в каком-то логе mac роутера прописал его в arp -s, ну заработал интернет у меня,но все другие обламываются.
Вот тут начинается самое интересное, как найти мудилу ???
Девайс новый, mac новый(ни где не свитился), switchи за 20$(ходить по чердакам и выдергивать по одному как-то не хотелось, ибо чердаков дофига).
Меня спасло то,что сделав nmap на этого гада узнал версию OS и потом и сам девайс, также и то, что у него был web-интерфейс.
Зашёл на сайт, где собраны все default пароли для всех подобных device,
он как ни странно подошёл, поставил ему нормальный ip.
На всё про всё ушло 2 дня(так как этот мудак то включит свой чудо device, то выключит).

2) Второй более гиморойный, но тоже был. Один "xakep" прописал у себя ip 192.168.1.1, но mac его я знал и быстренко позвонил и посоветовал не игратся с компьютером.

После двух этих случаев чуствую свою полную незащищенность перед такой проблемой.Прописывть у всех клиентов статический arp не имеет смысла, так как некоторые windows переставляют раз в неделю точно.

arum ★★
()
Ответ на: комментарий от arum

Братан, извини, но это всего-лишь говорит о твоем уровне, не нужно строить сеть так, чтобы каждый "мудила", включив новый девайс или поменяв IP адрес (или MAK адрес) мог ее обвалить.

qwe ★★★
()
Ответ на: комментарий от qwe

2 qwe:
> не нужно строить сеть так
Так предложите свое решение !!!

spirit ★★★★★
()
Ответ на: комментарий от qwe

2 qwe:
> не нужно строить сеть так

qwe знаешь такие вещи есть как совокупная стоимочть владения и рентабильность.
Ну на сегоднешний день мой вариант построения сети провайдера районного масштаба является самым рентабельным IMHO.

Конечно можно повесить на интерфейс роутера 256 alias ip адресов и с каждым пользователем сделать свою подсеть с маской 31, это будет проще, чем придложенный тобой вариант с PPPoE(мое мнение).
Но во сколько раз увеличится количество времени на конфигурацию
сервера.
Мне не хочется всё свободное время проводит за этим занятием.

Так как любой может поменять свой mac и беспоследствий навредить соседу(ну узаю, я что с mac aa:bb:cc:dd:ee:ff кто-то просканил порты у соседа, как мне найти этого aa:bb:cc:dd:ee:ff).
Без управляемых switchей,самые дешёвые из которых стоят 100$ это проблему не решить(опять же мое мнение).
Но пока, что я предпочитаю забирать себе разницу в цене между управляемыми и не управляемыми swichamи платя за это, некоторыми неудобствами в обслуживании.
А сеть я строил по учебникам, просто в нормальных местах такого рода угрозы в принципе не возможны.

И всё таки хотелось бы увидеть твой вариант qwe построения сети, небольшого провайдера.

arum ★★
()
Ответ на: комментарий от Gelin

Он еще вместе с адресом раздаёт кучу настроек: адрес шлюза(ов), адреса DNS, WINS и много чего ещё.

infinite
()
Ответ на: комментарий от qwe

>IMHO, самое простое для этих целей PPPoE (дежавю, пару страниц назад говорил). Там в ethernet среде ходят PPP ракеты (не IP).

Есть небольшой вопрос - чем pppoe лучше vpn или ipsec?

jackill ★★★★★
()
Ответ на: комментарий от arum

> arum * (*) (29.10.2004 21:12:07)

> Но во сколько раз увеличится количество времени на конфигурацию сервера.

> Без управляемых switchей,самые дешёвые из которых стоят 100$ это проблему не решить(опять же мое мнение).

В твоей ситуации вы сэкономили один раз на железе, но теперь постоянно тратите своё время (AKA деньги) на латание дыр.

Ответ на вопрос "как без VPN и управляемых свитчей сделать круто": добавить в систему обезъянку(ок), которая будет круглосуточно скакать по чердакам и всё чинить. А в свободное время называть своих кормильцев-клиентов "мудаками".

Чудес не бывает. "Дешёво" и "хорошо" одновременно бывает только в сказках.

ЗЫ: Вот за счёт пользователей таких как у вас сетей Стрим и развивается.

anonymous
()
Ответ на: комментарий от anonymous

1) Почему бы не использовать DHCP в такой сети ?
Не вижу больших проблем для этого
DHCP выдает клиенту один и тот же IP-ник статически
За нарушение этого бить по руками очень больно
Перестановка Windows не меняет MAC и IP-ник

2) Обязательно использовать малораспространенные сети приватных адресов
Например 172.29.172.0/24
Default gateway поставить не .1, а скажем .254 или .129

Выгода этого очевидна - все супер-пупер девайсы используют как правило другие адреса
Все малограмотные клиенты которые знают только 192.168.0.0 идут лесом

3) Купить таки умный switch
Сейчас все которые считают себе провайдерами покупают умные шлюзы
Если его фичи в настоящий момент им не нужны
это не значит, что они не понадобятся в будущем

odip ★★
()
Ответ на: комментарий от jackill

>Есть небольшой вопрос - чем pppoe лучше vpn или ipsec?

Тем, что изначально разработан для таких целей. Поясню. Существует ethernet среда, т.е. несколько соединенных сетевых карт, которые обмениваются ethernet пакетами, пакеты адресуются MAC адресами. К одному из ethernet интерфейсов присоединен pppoe сервер, который слушает сеть. Клиент посылает широковещательный ethernet пакет (очень похоже на DHCP/BOOTP), сервер отвечает уже конкретному ethernet клиенту и сообшает свой MAC адрес, после чего они создают некий ethetnet канал (заметьте, что все IP пакеты, которые ходят в этой среде просто игнорируются сервером, у него даже нет IP адреса). После создания канала, по нему поднимается обычный PPP с которым очень просто работать (тут по вкусу - аутентификация, передача настроек по LCP, простой обсчет трафика и т.д.). Сам сервер очень легкий, все что ему нужно - это при запуске указать какой интерфейс слушать и проблем в установке я не вижу. В настройке клиента тоже нет никаких сложностей, это не сложнее чем настроить сетевую карту.

Надеюсь что ответил на Ваш вопрос и пару передыдущих.

qwe (вышел с пда, а пароль не помню)

anonymous
()
Ответ на: комментарий от odip

>Почему бы не использовать DHCP в такой сети ? Не вижу больших проблем для этого DHCP выдает клиенту один и тот же IP-ник статически За нарушение этого бить по руками очень больно Перестановка Windows не меняет MAC и IP-ник

Потому, что DHCP никаким образом не помешает клиенту настроить параметры сетевой карты в ручную.

anonymous
()
Ответ на: комментарий от anonymous

Осталось придумать, как в такой сети без управляемых свитчей бороться с подменой MAC-адресов.
Сегодня Пупкин ставит IP-адрес шлюза, завтра он поставит MAC-адрес шлюза и ситуация вернётся к началу.

anonymous
()
Ответ на: комментарий от anonymous

Да, это главная проблема.

qwe

anonymous
()
Ответ на: комментарий от anonymous

Есть недорогие свичи с VLan на уровне портов.

anonymous
()
Ответ на: комментарий от anonymous

>Сегодня Пупкин ставит IP-адрес шлюза, завтра он поставит MAC-адрес шлюза и ситуация вернётся к началу

Немного подумал на эту тему. Теоретичски, при наличии в ethernet среде двух одинаковых MAC-адресов, пакеты должны прийти на оба адреса, а с ними должен разобраться прикладной софт. Это не приведет к обвалу сети, но тут возникает другая проблема, подменивший MAC-адрес видит все пакеты клиента.

anonymous
()
Ответ на: комментарий от anonymous

> Немного подумал на эту тему. Теоретичски, при наличии в ethernet среде двух одинаковых MAC-адресов, пакеты должны прийти на оба адреса, а с ними должен разобраться прикладной софт. Это не приведет к обвалу сети, но тут возникает другая проблема, подменивший MAC-адрес видит все пакеты клиента.

Это зависит от свитчей.
Они могут
1). кидать пакеты на оба порта (тогда всё будет работать так, как описал ты)
2). кидать пакеты _попеременно_ на эти два порта (страшные глюки).
3). определять и блокировать порты с одинаковыми MAC-адресами (ничего работать не будет).
4). начать рассылать все пакеты на все порты, т.е. начинать работать как хаб. Всё будет работать с глюками.
5). обидется и вообще перестать рассылать пакеты. :)

В rl я встречал варианты 2, 4 и 5.

anonymous
()
Ответ на: комментарий от anonymous

>4). начать рассылать все пакеты на все порты, т.е. начинать работать как хаб. Всё будет работать с глюками.

Не согласен, в этом случае должно работать нормально, хотя наилучший вариант это 1. Но полностью согласен с тем, что все зависит от реализации свича.

qwe

anonymous
()
Ответ на: комментарий от odip

...Да уж, разбередил админов...

<offtopic>
odip> Перестановка Windows не меняет MAC и IP-ник
Видел несколько раз, как перестановка Windows XP, особенно на новый ноутбуках меняет MAC адрес !!! А один раз даже видел, что мак по умолчанию на буке был 00:00:00:00:00:00 !!! 3Com SSII такие маки просто не пропускает.
</offtopic>

Для себя же вижу такие пути:
1. В сетях, где управляемые коммутаторы, оставить все как есть. Ручками нехорошего человека можно достаточно быстро вычислить и отрубить. А если будет сильно надоедать - сказать всем, по чьей вине сеть не работала :)
2. В сетях, где нет управляемых коммутаторов, поэкспериментировать с PPPoE. До того имел дело только с VPN (pptp), честно говоря, думал, что это почти одно и то же. Дурак был. В принципе, если PPPoE так же секурен и прост в настройке виндовым клиентам, как и VPN (исключительно CHAP авторизация, все встроено в Винду), то будет хорошей заменой.

Gelin
() автор топика
Ответ на: комментарий от Gelin

>все встроено в Винду

Начиная с w2000, но в ней реализован кривовато (прблемы с MTU). Поищи в google на предмет RASPPPOE download. Удачи.

qwe

anonymous
()
Ответ на: комментарий от anonymous

>>4). начать рассылать все пакеты на все порты, т.е. начинать работать как хаб. Всё будет работать с глюками.

>Не согласен, в этом случае должно работать нормально, хотя наилучший вариант это 1.

Как ты себе представляешь, например, работу соединения TCP в такой ситуации? ГСЧ у каждой машины разные, и SSN для одного и того же нового соединения они будут использовать разные.

anonymous
()
Ответ на: комментарий от anonymous

>Как ты себе представляешь, например, работу соединения TCP в такой ситуации?

Простите, но мы говорили не об IP среде, а об ethernet в которой ходят пакеты PPP. Допусти, что имеем обычный хаб и две машины в сети, которые имеют одинаковые мак адреса, одна изкоторых сервер pppoe. Клиент (с другим мак адресом) шлет широковещательный ethernet запрос, пакет попадает на все карты в сети. Отвечает на него только pppoe сервер, который шлет ответ на мак адрес клиента. Клиент шлет следующий запрос на мак адрес сервера, пакет попадает на две сетевые карты, но обрабатывает его и посылает ответ только pppoe сервер. И т.д. все ethernet пакеты от клиента к серверу принимаются двумя картами, но отвечает только сервер. Таким образом обвала сети не происходит, хотя наблюдаются проблемы с безопасностью.

anonymous
()
Ответ на: комментарий от anonymous

> И т.д. все ethernet пакеты от клиента к серверу принимаются двумя картами, но отвечает только сервер.

Здесь у тебя ошибка. Почему отвечает только сервер? Отвечают оба.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.