LINUX.ORG.RU
ФорумAdmin

Разрешить присваивать только определенные IP!

 , , , ,


0

1

Здравствуйте. На MIKROTIK настроено:

ether1 (провайдер) - внешний IP 10.10.10.17/28

ether2 (коннект к компам)
   vlan100    - у компа с тегом 100 - 10.10.10.18
   vlan101    - у компа с тегом 101 - 10.10.10.19 + 10.10.10.20
   vlan102    - у компа с тегом 102 - 10.10.10.21
   vlan103    - у компа с тегом 103 - 10.10.10.22
   vlan104    - у компа с тегом 104 - 10.10.10.23

bridge0 (Бридж кабеля провайдера и VLAN'ы)
   ether1
   vlan100
   vlan101
   vlan102
   vlan103
   vlan104
Все работает, но как сделать, чтобы допустим ПК который в vlan102 НЕ СМОГ присвоить себе другой IP кроме 10.10.10.21 ??



Последнее исправление: dirsex (всего исправлений: 1)

в фаерволе отфильтруй по ип и интерфейсу.

voltmod ★★
()

10.10.10.17/28
/28

нафига отдельные vlan, если машины внутри одной подсети?

Turbid ★★★★★
()

Бинд по мак адресу к ip ? Портсекюрети на портах терминации (подключения) ПК, чтобы с левым ip/mac посылал нафик, реализуется с помощью radius или средствами самого коммутатора. Забить статику на ПК и отобрать права админа у пользователей, последнее кстати рекомендуется для повышения безопасности, а не только разграничения =)

IMP
()
Ответ на: комментарий от IMP

Нельзя отбирать права админов у ПК ;( нужно просто запретить конкретному VLAN присваивать IP адреса, допустим как описал - vlan100 = 10.10.10.18 а у vlan101 = 10.10.10.19 + 10.10.10.20 и кроме этих IP они в сетку не попадут.

Можно маломальский пример правила, затестить?

dirsex
() автор топика

Такое обычно решается на коммутаторах. IP Source guard, DHCP Snooping. В упоротых случаях и static arp или правила файрволла сойдут. Тебе скорее всего придётся пойти как раз по упоротым вариантам, особенно учитывая то, что присвоив неправильный IP в данном случае они упорят всё не только себе, но и соседям находящимся с ними в одном широковещательном домене и имеющим такой же IP, но уже потому что им «положено».

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Спасибо за ответ, почитаю про это. Отходя от темы, как бы Вы посоветовали настроить сеть (с vlan, без vlan) чтобы давать определенным ПК внешний IP при этом не позволять им пользоваться (прописать свободный внешний), но при этом иметь возможность выдавать не только один IP а несколько при необходимости ?

Еще раз спасибо за ответ.

dirsex
() автор топика
Ответ на: комментарий от dirsex

Отходя от темы, как бы Вы посоветовали настроить сеть (с vlan, без vlan) чтобы давать определенным ПК внешний IP при этом не позволять им пользоваться (прописать свободный внешний), но при этом иметь возможность выдавать не только один IP а несколько при необходимости ?

Идеальный вариант: роутер с VLAN-ами и по /32 на VLAN и все линки настроенные с обоих сторон как p2p(то есть блоками по /32, возможно несколькими, если надо).

Потребуется больше настроек как с роутера, так и с клиентов, но получишь максимальную управляемость и минимальную возможность для клиента что-то упороть другому клиенту

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Пожалуй не соглашусь с вами, идеальный вариант это радиус сервер с 802.1x и центром сертификации. На радиусе проверяется от кого пришел запрос, с каким ip, имени машины, порта коммутатора,мак-адреса (выбрать по необходимости нужное, хотя можно и все вместе) И принудительно выдать VLAN, ip, шлюз, маску и по желанию другую инфу клиенту. Если клиент проходит аутентификацию, будет ему счастье, если пользователь решил построить из себя хакера, то получит бан или гостевую сетку, по желанию админа. Все это реализуется довольно не сложно, свободным ПО. Если пользователей не много, то и выделенного сервера не нужно.

А почему у пользователя нельзя отбирать админскую учетку? Ведь это не безопасно, даже админы сознательные работают под пользовательской учеткой. Такой же путь изначально и предлагает Linux, рут отдельно юзер отдельно =)

IMP
()
Ответ на: комментарий от IMP

А почему у пользователя нельзя отбирать админскую учетку?

Я такого не говорил, если что :-)

Пожалуй не соглашусь с вами, идеальный вариант это радиус сервер с 802.1x и центром сертификации

Никогда в более-менее крупных сетях его вживую не видел. В мелких - бывало, но всё равно это решение считается экзотикой. Хз почему, на самом деле - строже чем 802.1x сложно что-то придумать. Хотя вариант vlan per user забитый вручную в крупной сетке я видел, без 802.1x этим рулить - тот еще геморрой.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Я тоже если честно особо не встречал. Но в настоящий момент как раз занимаюсь внедрением в довольно крупную сеть > 1000 пользователей. При хозяйстве коммутаторов приближающихся к 200, немного проблемотично управлять всеми ими по отдельности. Еще посматриваю в сторону NOC, но пока нет свободного времени.

IMP
()
Ответ на: комментарий от IMP

Еще посматриваю в сторону NOC, но пока нет свободного времени.

NOC - штука забавная, насколько я могу судить, но там скорее всего придется создавать SNMP-профили для девайсов самому. Конечно при условии что тебе дико не повезет и нужные тебе девайсы будут уже поддерживаться.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.