Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
sedfom
Зарегистрирован: 04.11.2002 Сообщения: 309 Откуда: Moscow
|
Добавлено: Пт Мар 11 2005 13:44 Заголовок сообщения: Настройка маршрутизатора с фильтрацией пакетов |
|
|
Есть маршрутизатор. ОС=FreeBSD 4.5 (Ядро скомпилировано с ключами IPFIREWALL, IPFIREWALL_VERBOSE, IPFIREWALL_VERBOSE_LIMIT=10, IPFIREWALL_FORWARD). Поднят IPFW в режиме open. В rc.conf опция gateway_enable="YES". Все пять сетевых интерфейсов настроены на локальные подсети 192.168.168.0 192.168.151.0 192.168.152.0 192.168.153.0 192.168.154.0. Все работает без проблем (пока )
Хочу привязать IP пользователей подсетей 15*.0 к mac адресам. Хорошо бы еще получить какой-нибудь лог-файл с ошибками ARP (если вдруг кто поменяет себе IP).
Вопрос достаточно ли прописать через arp -s сочетания IP - arp? И куда глядеть в случае возникновения подмены? |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Пт Мар 11 2005 14:56 Заголовок сообщения: |
|
|
ipfw имеет возможность фильтрации пакетов и по mac адресам. |
|
Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002 Сообщения: 309 Откуда: Moscow
|
Добавлено: Пт Мар 11 2005 15:37 Заголовок сообщения: а где бы про это почитать еще |
|
|
здесь и здесь не нашел ответа, но статьи интересные.
В идеале конечно хотелось бы иметь файл соответствий mac -ip, который прикрутить к ipfw. Может кто-нибудь уже делал что-нибудь подобное? |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
|
Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002 Сообщения: 309 Откуда: Moscow
|
Добавлено: Пт Мар 11 2005 16:14 Заголовок сообщения: |
|
|
squirL писал(а): |
правда я не уверен, насчет FreeBSD 4.5. может придется обновить ipfw |
Вы правильно не уверены .
Цитата: |
NOTE: this manual page documents the newer version of ipfw introduced
in FreeBSD 5.0 in July 2002, also known as ipfw2. ipfw2 is a super-
set of the old firewall, ipfw1. The differences between the two are
listed in Section IPFW2 ENHANCEMENTS, which you are encouraged to
read to revise older rulesets and possibly write them more effi-
ciently. See Section USING IPFW2 IN FreeBSD 4.x for instructions on
how to run ipfw2 on FreeBSD 4.x.
|
|
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Пт Мар 11 2005 16:38 Заголовок сообщения: |
|
|
ну так Цитата: | See Section USING IPFW2 IN FreeBSD 4.x for instructions on
how to run ipfw2 on FreeBSD 4.x. |
и вперед |
|
Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002 Сообщения: 309 Откуда: Moscow
|
Добавлено: Пт Мар 11 2005 16:53 Заголовок сообщения: не смешно .... |
|
|
ipfw2 по тем скудным данным я ничего не понял, как его прикрутить и где это взять.
Зато нашел вот не поясните поподробнее как с этим arpwatch общаться? |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Пт Мар 11 2005 17:04 Заголовок сообщения: |
|
|
не открывается линк... :( а в чем сложность установки ipfw2 ? |
|
Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002 Сообщения: 309 Откуда: Moscow
|
Добавлено: Пт Мар 11 2005 17:35 Заголовок сообщения: ну, тут ведь как .... |
|
|
squirL писал(а): | а в чем сложность установки ipfw2 ? |
как я понял они предлагают обновить всю ОС через интернет. Эт не мой вариант. Вроде нет там про установите такой то пакет и будет Вам счастье Я не прав?
Текущая ситуация:
создал /etc/ethers
запускаю arp -f /etc/ethers
Все работает. Если кто может поподробнее объясните про arpwatch (как запускать, где настраивать). Под мои нужды самое то. |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
|
Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Сб Мар 12 2005 09:52 Заголовок сообщения: |
|
|
Цитата: | 3. Предотвращение подделки MAC адреса
Нам необходимо обезопасить наш роутер от возможности принятия пакетов с IP адресами которые могут попасть в локальную сеть извне под видом легальных пакетов TCP/IP входящие в диапазон сети 200.200.200.0/28. Даже если это произойдет то на этот случай у нас есть жестко привязанная таблица IP адресов к MAC адресам сетевых карт и роутера нашего ISP. Иногда это бывает необходимо как мера от нечистоплотных сотрудников которые меняют IP адресс своего хоста на адрес другого ПК, владелец которого например находится в отпуске и шишки соотв. посыплятся на него Для начала вам нужно построить MAC таблицу адресов , где формат ее будет примерно таким:
petya 00:20:af:4a:3e:e3
vasya 00:20:fg:3a:3e:21
sasha 00:20:fg:3a:3e:21
marina 00:20:fg:3a:3e:21
и сохранить ее в файле например /etc/ethers. Для того чтобы узнать Ethernet адрес хоста достаточно на нем набрать arpa. При запуске на роутере arp -f /etc/ethers вся информация о соответствии IP адреса и MAC адреса сетевой карточки при работе протокола ARP будет браться из файла /etc/ether и замораживаться. Это процесс можно автоматизировать запустив на роутере arpwatch (он есть в портах FreeBSD) и сделав на каждом хосте файл /etc/hosts с описанием пары name_hosts IP_adress и /etc/ethers с вышеприведенным форматом. Когда появляется факт подмены IP адресса то arpwatch посылает письмо с описанием проишедшего и таблица arp замораживается. |
А полностью здесь! _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
|