Связка ip и mac



  • На форуме неоднократно поднимались темы о привязке ip к mac для компов юзеров. Решения данной проблемы на форуме я не нашёл. Между тем, на 2.0 это решается очень просто. Для freebsd расписано тут:

    http://skeletor.org.ua/?p=280

    То есть для pfS достаточно создать файл /usr/local/etc/arp.list в котором прописать пары ip и mac. Потом создать файл /usr/local/etc/rc.d/static_arp.sh и сделать его исполняемым:

    #!/bin/sh
    
    ifconfig xx0 staticarp
    
    arp -a -d && arp -f /usr/local/etc/arp.list
    

    где xx0 - интерфейс на котором нужна эта фича.
    P.S. Прописать staticarp в свойствах интерфейса в файле config.xml мне не удалось. pfS игноривал.



  • Такое впечатление, что это не вопрос на форуме, а нечто типа простой инструкции.

    Только вот я бы данную тема назвал как "static arp table"



  • а что мешает юзеру подменить mac и ip?



  • @zar0ku1:

    а что мешает юзеру подменить mac и ip?

    Имхо, сложно не имея возможности подключиться к сети, проснифать мак и IP :-) Нужно иметь доступ к компу в сети и уметь делать ipconfig /all, а потом ждать кодаж этот комп выключат.



  • @dr.gopher:

    @zar0ku1:

    а что мешает юзеру подменить mac и ip?

    Имхо, сложно не имея возможности подключиться к сети, проснифать мак и IP :-) Нужно иметь доступ к компу в сети и уметь делать ipconfig /all, а потом ждать кодаж этот комп выключат.

    чего за бред? что мне мешает набрать arp -a  и вывести список всех ip адресов и маков в сети?



  • @zar0ku1:

    @dr.gopher:

    @zar0ku1:

    а что мешает юзеру подменить mac и ip?

    Имхо, сложно не имея возможности подключиться к сети, проснифать мак и IP :-) Нужно иметь доступ к компу в сети и уметь делать ipconfig /all, а потом ждать кодаж этот комп выключат.

    чего за бред? что мне мешает набрать arp -a  и вывести список всех ip адресов и маков в сети?

    Это не бред!
    Предлогаю Вам уважаемый проделать простой опыт.
    1. поставить IP адрес не из вашей подсети ручками
    2. очистить ARP-кэш    -    netsh interface ip delete arpcache
    3. и делать до просветления arp -a

    Без обид  ;)



  • @dr.gopher:

    Это не бред!
    Предлогаю Вам уважаемый проделать простой опыт.
    1. поставить IP адрес не из вашей подсети ручками
    2. очистить ARP-кэш     -     netsh interface ip delete arpcache
    3. и делать до просветления arp -a

    Без обид  ;)

    а зачем ставить левый айпишнег? узнать айпи в сети дело 5 секунд, это я говорю вам как начальник техотдела провайдера на 4,5к человек, у которых используется привязка ip+mac, и статик арпом вы проблему ни капельки не решите :) без обид ;)



  • @zar0ku1:

    а зачем ставить левый айпишнег? узнать айпи в сети дело 5 секунд, это я говорю вам как начальник техотдела провайдера на 4,5к человек, у которых используется привязка ip+mac, и статик арпом вы проблему ни капельки не решите :) без обид ;)

    Согласен, проблему этим не решить. Все, или почти все можно сломать! Вопрос сколько времени на это потратишь и какова квалификацию юзера. А применение данному решению можно найти.



  • @dr.gopher:

    Согласен, проблему этим не решить. Все, или почти все можно сломать! Вопрос сколько времени на это потратишь и какова квалификацию юзера. А применение данному решению можно найти.

    без наличия управляемых свичей с port binding это вообще не имеет смысла



  • @zar0ku1:

    @dr.gopher:

    Согласен, проблему этим не решить. Все, или почти все можно сломать! Вопрос сколько времени на это потратишь и какова квалификацию юзера. А применение данному решению можно найти.

    без наличия управляемых свичей с port binding это вообще не имеет смысла

    угу, это получается недорешение



  • @forestman99:

    угу, это получается недорешение

    Разные есть задачи. Например для офиса в который могут зайти гости и попытаться подключиться к сети, это решение вполне пригодно. :-)



  • прикольный офис где любой может придти и подключиться к сети, пропускной режим - вайфай в Макдональдс ))



  • @forestman99:

    прикольный офис где любой может придти и подключиться к сети, пропускной режим - вайфай в Макдональдс ))

    А разве все офисы находятся на режимных объектах??? Есть офисы и в съёмных квартирах и даже подвалах.



  • @forestman99:

    прикольный офис где любой может придти и подключиться к сети, пропускной режим - вайфай в Макдональдс ))

    А у вас не бывает левых гостей ожидающих встречи с боссом? А потом кипиш, нас ломанули, нашу почту читают конкуренты…. :-)
    Разные офисы и разные ситуации. А данный вариант это одна из преград. Никто не говорил, что это обезопасит нас на 100%
    ;)



  • @dr.gopher:

    @forestman99:

    прикольный офис где любой может придти и подключиться к сети, пропускной режим - вайфай в Макдональдс ))

    А у вас не бывает левых гостей ожидающих встречи с боссом? А потом кипиш, нас ломанули, нашу почту читают конкуренты…. :-)
    Разные офисы и разные ситуации. А данный вариант это одна из преград. Никто не говорил, что это обезопасит нас на 100%
    ;)

    А вы этот кипишь гасите предъявляя почту конкурентов. :)
    Левым гостям следует ходить со своим 3Г интернетом. или давать им гостевой wifi  и интернет.



  • шифрование трафика в локальной сети - еще никто не отменял



  • Я как-то хреново понимаю, объясните, пожалуйста, в чем разница приведенного метода с Галочкой dhcp-сервера "Enable Static ARP entries".
    Еще лишнем не будет "Deny unknown clients". и счастливо живем.



  • @goliy:

    Я как-то хреново понимаю, объясните, пожалуйста, в чем разница приведенного метода с Галочкой dhcp-сервера "Enable Static ARP entries".
    Еще лишнем не будет "Deny unknown clients". и счастливо живем.

    Ваш вариант не выдаст ip.
    В в варианте автора - для выхода в инет требуется ip+мак из списка.



  • Мой вариант уже как год исправно выдает определенные адреса определенным юзерам. Т.е. фактически привязка мак+ИП.
    Если зарегистрированный юзер втыкает кабель в комп - получает ИП, числящийся за его сетевухой. Любой другой мак не может использовать этот ип-адрес. Этот мак не может использовать никакой другой ИП. Не это ли привязка?



  • @goliy:

    Мой вариант уже как год исправно выдает определенные адреса определенным юзерам. Т.е. фактически привязка мак+ИП.
    Если зарегистрированный юзер втыкает кабель в комп - получает ИП, числящийся за его сетевухой. Любой другой мак не может использовать этот ип-адрес. Этот мак не может использовать никакой другой ИП. Не это ли привязка?

    Ваш вариант - обходим - пишем ручками любой ip из родсети.
    В… Автора - ручками пишем ир+мак



  • Еще раз объясняю - если вписать любой ИП из подсети - даже пинговаться сервер не будет.
    "Note: Only the machines listed below will be able to communicate with the firewall on this NIC."



  • в чем разница приведенного метода с Галочкой dhcp-сервера
    В том что не используется dhcp-сервер.
    Честно говоря не ожидал, что тема станет поводом для такого флуда. Я посчитал, что если данная тема поднималась на форуме, значит данное решение кому-то нужно. Я никого не уговариваю его использовать, я не считаю это решение идеальным. Это просто ответ на вопрос, который несколько раз поднимался на форуме. И всё.



  • @goliy:

    Еще раз объясняю - если вписать любой ИП из подсети - даже пинговаться сервер не будет.
    "Note: Only the machines listed below will be able to communicate with the firewall on this NIC."

    Не знал. Попробую.  ;)


Log in to reply