Как закрыть доступ от "левых юзеров"



  • народ всем привет, подскажите в чем проблема ? при попытке попасть в админку, сверху в браузере выводится вот такая строка :
    Warning: fopen(/tmp/config.lock): failed to open stream: Device not configured in /etc/inc/util.inc on line 127 Warning: flock() expects parameter 1 to be resource, null given in /etc/inc/util.inc on line 138 Warning: fclose() expects parameter 1 to be resource, null given in /etc/inc/util.inc on line 139 Warning: session_start(): open(/var/tmp//sess_2e72085b5129b2125ce635b724d1b559, O_RDWR) failed: No space left on device (28) in /etc/inc/auth.inc on line 1357

    В общем снес и поставил заново ))) на все про все 15 мин ушло )))

    Второй вопрос.
    Начну сначала, стоит у меня в тамбуре дохленький комп, на нем крутится PFS, WAN - PPOE, LAN-DHCP. Скинулись в 5-м протянули локалку по подъезду, платим по 150 руб./мес. имеем инет с каналом почти 100мбит. Экономия каждому 3500 рубля в год и имеем просто сумасшедшую скорость - относительно если бы каждый сидел на базовом тарифе отдельно. )))

    Так вот в последнее время стали появляться какие то левые клиенты которые хавают трафик нещадно ))) Поставил на DHCP разрешать только известные MAC адреса, но видимо не особо помогает, т.к. я понял, что если ручками прописать IP то все будет работать нормально. По витухе прошлись и свичам(стоят в подъезде) левых проводов нету, единственная лазейка это у двух особо одаренных стоят роутеры TP Link простенькие, я их настроил , поставил пароли на Вафлю и врубил их работать в режиме хаба. Но т.к. они ущербные, то они не получают себе IP адрес (в отличии от моей домашней ТД Lynksys) и я не могу зайти на них и посмотреть, что там творится с клиентами.

    Соответственно вопрос как зная все MAC адреса "родных" машин, запретить подключаться левым клиентам или может какие то другие варианты подскажете. Я не очень силен в этом, могу даже догадываться, что задаю откровенно ламерские вопросы, но все же буду очень благодарен за помощь !!!



  • поставил пароли на Вафлю и врубил их работать в режиме хаба. Но т.к. они ущербные, то они не получают себе IP адрес (в отличии от моей домашней ТД Lynksys) и я не могу зайти на них и посмотреть, что там творится с клиентами.

    А с какой радости они получат адрес , если вы их заставили простыми хабами свитчами работать ? Если нужен к ним доступ - задайте вручную им адрес из той же подсети , что сами используете.

    P.s. Насчет "ущербности" тп-линков - про плохого танцора поговорку напомнить? Да и линксисы - тот еще "подарок" за невменяемые деньги. Или вы думаете надпись Cisco дает +100500 к надежности ? Я вас умоляю.  Привет маркетолохам.

    Соответственно вопрос как зная все MAC адреса "родных" машин, запретить подключаться левым клиентам или может какие то другие варианты подскажете. Я не очень силен в этом, могу даже догадываться, что задаю откровенно ламерские вопросы, но все же буду очень благодарен за помощь !!!

    Подскажу. Поднимите на Pfsense pppoe-сервер и подключайтесь своими избранными клиентами.



  • поставь ipguard. классная штука, пока не пропишешь пару, будет показывать что ip занять  ;D



  • This is like the DHCP server feature:

    Deny unknown clients
    If this is checked, only the clients defined below will get DHCP leases from this server.

    and

    Enable Static ARP entries
    Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    P.s. @ N3w4dm1n

    Что помешает "халявщику" присвоить себе разрешенный MAC ?



  • @35house:

    В общем снес и поставил заново ))) на все про все 15 мин ушло )))

    Может настроить каптивный потртал и раздать своит юзверя пароли?



  • на самом деле и мак тоже можно подменить =) тогда в сети чудеса начнутся.
    самое простое, что бы не изгаляться:
    -выделить диапазон для статических клиентов, прописать его в политики доступа ( алиасом например).

    • в DHCP сделать статические записи ip\mac клиентов и поставить галочки
      "ARP Table Static Entry
      Create an ARP Table Static Entry for this MAC & IP Address pair" у каждой записи.

    • и у самой сети Deny unknown clients

    таким образом ты во первых создашь список клиентов, жестко привяжешь их по макам относительно IP ( в таком варианте даже если ip впишут ручками, то не поменяв мак, не получат нишиша. ARP таблица их знать не будет и лесом пошлет.)
    во вторых при таком варианте если ктото подменит мак и IP и оба этих устройства будут в сети, у тебя начнёт глюить сетка и можно будет вычислить откуда идут не санкционированные доступы.

    второй вариант уже описывали, поднимать любой из типов тоннельного соединения. самы простой на мой вариант (главное без шифрования) pptp
    pppoe более сложен. кстати таким образом если работать еще и с шэйпером, то можно в базе дать скорость по 1-2 мегабита, а по рртр давать полную скорость.



  • @ WY6EPT

    -выделить диапазон для статических клиентов, прописать его в политики доступа ( алиасом например).

    • в DHCP сделать статические записи ip\mac клиентов и поставить галочки
      "ARP Table Static Entry   
      Create an ARP Table Static Entry for this MAC & IP Address pair" у каждой записи.

    • и у самой сети Deny unknown clients

    Я ЭТО ЖЕ предложил двумя постами выше.

    второй вариант уже описывали, поднимать любой из типов тоннельного соединения. самы простой на мой вариант (главное без шифрования) pptp
    pppoe более сложен

    Ув. WY6EPT.
    Изучите-ка хотя бы ради интереса модель OSI.
    Ибо как pppoe , работающий на втором, т.е. КАНАЛЬНОМ уровне OSI , может быть "сложнее" pptp, работающего на более высоком СЕАНСОВОМ уровне.

    Я вам даже открою секрет - для поднятия pppoe-сессии на сетевом интерфейсе даже не обязателен IP-адрес. В отличие от pptp.



  • Вертер, ну зачем же так категорично. с DHCP оно понятно, я не заметил, но дополнил.
    про тоннельные сессии: а кто говорил что мы отказываемся от L3?
    по L3 мы можем выпустить шэйпером на низкой скорости.
    зафиксировать логами куда ходили. вычислить мак. ( если коммут управляемый вычислить порт)
    даже если коммут не управляемый, всегда можно подёргать шланги =)
    нужно же найти злодея, погрозить ему пальчиком и (сказать, что он должен пива за трафф =опционально ) попить с ним пива и включить его в эту сеть за денежку =)
    а с моделью OSI я к сожалению знаком… лучше бы не знал... спал бы лучше


Log in to reply