LINUX: xum routez doar pe anumite ip-uri sau pe mac-uri?

[sorin147]

intr-un oarecare final s-a ajuns sa avem si noi linux pe server... (...nu comentati )
routarea este acum pe toata reteaua...
cum cunostintele mele in materie de linux incap scrise intr-un patratzel de mate cu font 14 va imaginati ca ma uit ca matza la calendarul rusesc! sa traiasca cel care i-a creat linuxului o interfata apropiata e cea de win ca mai am astfel sanse de intelegere a sa ..
problema apare in condfitiile in care reteaua se mareste pe zi ce trece si siguranta traficului se micsoreaza pe zi ce trece..
dupa cum spune si titlul, ma intereseaza configuratia sau comanda cre trebuie scrisa pt a routa pe anumite ip-uri sau mai bine, pt a routa pe macurile placilor de retea...
care? cum? si pe unde anume?

[Cosu]

cel mai elegant se poate face in felul urmator
faci rutare chioara in functie de ip (cum presupun ca ai acu) si apoi sa folosesti o tabela de arp static. pentru asta creezi un fisier ( standard am vazut /etc/ethers) . acolo scrii pe fiecare linie ip urmat de mac de ex:
192.168.0.1 ee:ee:ee:ee:ee

apoi dai comanda arp -f /etc/ethers
astfel daca cineva incearca sa puna ipul 192.168.0.1 si nu are macul din fisier nu poate sa primeasca net.

[sorin147]

..am creat un fisier, cre eu, in /root/ cu numele ethers ..bla-bla
am scris in el "ip mac". am salvat fisierul pe acolo pe unde am reusit performanta de a-l produce, si anume in /root/ethers ..cam asta era calea
mai departe...cu o inteligenta uimitoare, de moment, am reusit lansarea unui terminal, localizat pe ruta.. /system tools/terminal (mistoc interfata aia ca de win ) si apoi da-i si scrie "arp -f /root/ethers"
comanda a fost luata, presupun, pt ca nu mi-a dat nici o eroare si netul parea sa mearga in continuare.
bun! mi-am zis. am facut-o si p-asta! si acum, testarea....
am schimbat ip-ul si fericirea era ca netul mergea, desi am acelasi mac dar alt ip!....
ceva comentarii, sugestii, alea-alea?

[[mx]n0b0dy]

daca-si pune altcineva acelasi mac si ip ca tine cum il prinzi?

[djlyon]

You don't

[sorin147]

macul nu era unic pt fiecare placa de retea?

[djlyon]

Este...
dar se poate modifica din soft

[sorin147]

ideea era totusi sa aflu si eu cum pot routa exact catre o persoana. pai in acest caz tre sa stii si ipul si macul si poate sa schimbi si numele la calc sa nu mai fii identificat. ceva mai greu sa indeplinesti toate aceste conditii.
pana acuma am primit o singura solutie si care nu s-a dovedit f eficienta!
altele??

[need4catalinus]

Salut dragilor
Interesanta discutzie aici la voi
Am si eu ceva de spus aici si anume
1. pe un server cu linux pe el este daca nu imposibil cel putzin foarte dificil sa securizezi un IP sau MAC adress. Spre exmplu daca eu sunt cu voi in retea iau direct IPul unui utilizator , emulez MACul si stau impreuna cu adevaratul utilizator linistit pe net. Mentzionez ca IPul vizibil pt toata lumea este cu totul altul decat cel cu care intru pe server. In concluzie daca faci un server pe linux trebe sa stii ce faci acolo
2.Eu am un server configurat pe WIN 2003 Corporate (bleah) si desi nu sunt un fan Microsoft tzin sa spun ca m-a impresionat. Conexiunea pe server se face prin VPN cu user si parola iar intre IPul local de 10.x.x.x si cel al serverului 81.xxx.xxx.xxx mai exista un IP virtual in alta clasa (192.x.x.x de ex) pe care , daca vreau , limitez si traficul unui utilizator . Are un firewal inclus care este foarte eficace si nu lasa afara decat ceea ce vrei tu

In concluzie alegerea iti apartzine

[AStateOfMind]

Quote:

Originally Posted by need4catalinus

1. pe un server cu linux pe el este daca nu imposibil cel putzin foarte dificil sa securizezi un IP sau MAC adress. Spre exmplu daca eu sunt cu voi in retea iau direct IPul unui utilizator , emulez MACul si stau impreuna cu adevaratul utilizator linistit pe net.

buaaaaaaahahahhahahhahaha that ROCKS.

sa vad si eu in aceeasi retea in acelashi timp nu numai acelasi ip la 2 compuri, dar si acelashi MAC.

scuze, nu ma pot abtine - buaaaaaaaaaaaaaaahahahhahahahaha

sorin, ideea e asha: din firewall decizi ce ip-uri lashi pe net, din chestia cu arp -f faci corespondenta acele ip-uri cu drept de ieshire cu mac-urile computatoarelor.

Daca ei ishi schimba si ip-ul si mac-ul si profita de faptul ca unu din cei cu net nu e acasa sau nu are compul pornit, ata ete . Cand il porneshte va urla de conflict, faci un scan pe retea, vezi ce ip-uri sunt lipsa la apel, si faci o mini ancheta

[Rezare]

Quote:

Originally Posted by LifeSucks

sorin, ideea e asha: din firewall decizi ce ip-uri lashi pe net, din chestia cu arp -f faci corespondenta acele ip-uri cu drept de ieshire cu mac-urile computatoarelor.

Nu se poate face direct firewall-ul cu verificare ip/mac? Cu iptables -s x.x.x.x -mac y.y.y.y.y.y.y.y -j accept?

[AStateOfMind]

ba se poate, dar mi se pare mai elegant cu arp


iptables bla bla -m mac --mac-source mac'ul bla bla

[Ivan]

Cred ca se poate si pe dos. Faci un fisier /etc/mac.deny care contine MAC-urile care n-au voie si un scriptulet

for $MAC in `cat /etc/mac.deny`
do
echo $MAC blocked
/usr/sbin/iptables -A INPUT -m mac --mac-source $MAC -j DROP
done

Sau ceva asemanator (nu am verificat daca merge, dar cu siguranta se poate ajusta).

[AStateOfMind]

hmmm, mi se pare mai simplu sa faci pt macurile acceptate decat pt cele dennied, si mai logic. E mult mai simplu sa schimbi macul periodic, decat sa stai sa vanezi momentul cand vecinul inchide sistemul .

[Rezare]

Quote:

Originally Posted by LifeSucks

ba se poate, dar mi se pare mai elegant cu arp

Chestie de gusturi.....

[sorin147]

firewall..care? unde? cum?
unde-l gasesc, cum il lansez.. ??!

[Rezare]

iptables e numele lui

[[mx]n0b0dy]

Quote:

buaaaaaaahahahhahahhahaha that ROCKS.

sa vad si eu in aceeasi retea in acelashi timp nu numai acelasi ip la 2 compuri, dar si acelashi MAC.

scuze, nu ma pot abtine - buaaaaaaaaaaaaaaahahahhahahahaha

nu vorbi fara sa stii...

[AStateOfMind]

Quote:

Originally Posted by [mx]n0b0dy

nu vorbi fara sa stii...

???

am spus aceeashi retea, asta presupune ca nu exista VLAN-uri, VPN-uri, alte jmekerii intre, sau crezi ca la o retea de block shi-au facut baietii cine shtie ce super configuratie, departamentala, sau mai shtiu eu ce securizari nebune. Deci, daca tu pui in acelashi switch, 2 calculatoare cu acelasi ip, si alea 2 functioneaza IN ACELASI timp pe retea, ma duc si arunc cursurile de CCNA pe foc, si le spun alora de se ocupa cu asha ceva sa rescrie rfc-urile pt tcp-ip.

[[mx]n0b0dy]

Quote:

Originally Posted by LifeSucks

???

am spus aceeashi retea, asta presupune ca nu exista VLAN-uri, VPN-uri, alte jmekerii intre, sau crezi ca la o retea de block shi-au facut baietii cine shtie ce super configuratie, departamentala, sau mai shtiu eu ce securizari nebune. Deci, daca tu pui in acelashi switch, 2 calculatoare cu acelasi ip, si alea 2 functioneaza IN ACELASI timp pe retea, ma duc si arunc cursurile de CCNA pe foc, si le spun alora de se ocupa cu asha ceva sa rescrie rfc-urile pt tcp-ip.

nu comunica intre ele, asta e clar, dar pot comunica f bine cu un al treilea calculator (de ex cu gateway-ul).