LINUX.ORG.RU
ФорумAdmin

защита от смены IP-адреса пользоваиелем


0

0
Имеется офисная ЛВС с выходом в инет через шлюз под линухом, на сотрудников ведется учет трафика по IP-адресу машины. Что можно сделать, чтобы при изменении пользователем своего адреса на адрес машины другого сотрудника линух его откидывал?
anonymous
использовать MAC адрес сетевух
anonymous
()
to last anonymous: а если они еще и MAC-адреса заменять будут ? :-)
spirit ★★★★★
()
Не давать пользователям подобных привелегий (или у Вас win 98) на всех машинах? Тогда вешаться...
gennik
()
или написать по(например с вэбом), что бы для захода в инет нужно зарегестриться.
co6aka
()
Поставить squid и сделать доступ по authentification/ и не морочится с IP и MAC (если офис большой то можно точьно двинуться следя за сменами IP И карточек)
anonymous
()
А если еще и DHCP используется..... то точно :-))
spirit ★★★★★
()
Залезть на свитч и привязать все к МАКу, то что нужно и не парится, если же конечно офис большой, а иначе только аутентификация....
anonymous
()
Я тут недавно нашел систему называется Stargazer, судя по описанию она может решить проблему подмены IP и MAC адресов, сползай почитай stg.pochtamt.ru.
anonymous
()
Ответ на: комментарий от anonymous
а какой свитч лучше выбрать (цена/качесво), на котором можно реализовать жесткую привязку мак адреса к определенному порту?
anonymous
()

А КАК ТЫ ТРАФИК СЧИТАЕШЬ?

Если IPTABLES, то -m mac --mac-source xx:xx:xx:xx:xx:xx
вот тебе и привязка к МАК-адресу.

НЕ очень сложно написать прогу, которая хранила бы:
1) имя переменной как путь к dhcpd.lease
2) соответствие (т.е. таблицу) пользователь -- есть доступ|нет доступа|MAC-address
3) Выдираешь из dhcpd.lease ip-address по MAC. (простой парсер).
Далее генеришь команды iptables с контролем

------------[интернет (#eth0)]---->>> [локальный интерфес(#eth1)]
По:
a) C eth1 -> на eth0 контроль по --mac-source
б) eth0 -> eth1 контроль только по IP (т.к. MAC будет не известен, т.к. это интернет, где MAC не передаются)

У тебя в итоге должно быть:

-- таблица соответствия IP и MAC тех компов, которые имеют право ползать по инету

-- и генерируешь 3 правила: включение маскарада (посмотри ранее, я где-то уже писал подробно, где и как это можно сделать)
второе правило: контроль eth0 -> eth1, 3 правило: eth1 -> eth0.

Трафик считается по
iptables -L -v в неточных единицах
iptables -L -v -x с точностью до байта.

И еще, не забуть по крону cron.hourly (если RH) убивать (iptables -D .... ) правила для пользователей, которые исчерпали свою квоту.
Скриптик простейший. :)))


Если нужно готовое, пиши: Utandr@newmail.ru
Utandr
()
Ответ на: А КАК ТЫ ТРАФИК СЧИТАЕШЬ? от Utandr
Ok! Спасибо, и еще - если я правильно понял, от подмены мак и ип адреса можно избавиться двумя способами - либо на свитче выставлять жескую привязку мак адреса к порту либо делать авторизацию по мак, ип адресу и вдобавок логину и паролю - я прав?
anonymous
()
Выставлять жесткую привязку МАК адреса к порту на свиче это пролезет, а вот авторизация по mak,ip,login,pssword, сработает только при шифрации трафика. Представь ситуацию: сидит злодей со снифером ему до фени как ты там авторизуешь клиентов, он выцепил пакет подключенного клиента, выставил у себя его IP и MAK, установил их у себя и пашет от его имени и что делать?
andy7
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.