LINUX.ORG.RU
ФорумAdmin

парочка вопросов


0

0

Кто-нибудь знает почему я не могу пинговать некоторые ip-адреса из собственной подсети, хотя у них машина включена? Как это можно исправить?

Еще вопрос, есть ли вероятность того, что кто-то узнает mac-адрес, который прописан в /etc/ethers ?

Основная проблема состоит в том, что опр. количеству юзеров из подсети нужно обеспечить интернет.

Обеспечиваю командой:

iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.0.1-192.168.0.7 -j MASQUERADE

Добавляю привязку к MAC-адресу, указываю имя хоста в /etc/hosts, к примеру

192.168.0.2 user1

в /etc/ethers указываю имя хоста + MAC-адрес:

user1 00:19:B9:60:6A:CA

затем arp -f

Постоянно у кого-то пропадает интернет, не знаю уже как бороться с этим (

Спасибо


> Кто-нибудь знает почему я не могу пинговать некоторые ip-адреса из собственной подсети, хотя у них машина включена? Как это можно исправить?

Разрешить на этих машинах пинги? :)

> Еще вопрос, есть ли вероятность того, что кто-то узнает mac-адрес, который прописан в /etc/ethers ?

Как обычно - какие права поставишь.

> iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.0.1-192.168.0.7 -j MASQUERADE

А в FORWARD что? Вообще форвардинг включён на уровне системы?

> Добавляю привязку к MAC-адресу, указываю имя хоста в /etc/hosts, к примеру > 192.168.0.2 user1 > в /etc/ethers указываю имя хоста + MAC-адрес: > user1 00:19:B9:60:6A:CA

Не очень понял, чего ты пытаешься добиться этими извращениями. Проверяй ip/mac через тот же iptables.

anonymous
()

> iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.0.1-192.168.0.7 -j MASQUERADE

не пробывали для каждого IPа отдельное правило?
-A POSTROUTING -s IP -j MASQUERADE
хотя, не думаю, что это что-то меняет.

> в /etc/ethers указываю имя хоста + MAC-адрес:


имя хоста в адрес нормально преобразуется? не пробывали в /etc/ethers IPы писать.

ps: Вообще так, как у вас написано, должно рабоать нормально. Посмотрите dmesg, мб там что-то есть...

pps: привязка IP+MAC элементарно обходится, если ваши пользователи не подключены к управляемому свичу, на котором стоит привязка MAC к порту.

samson ★★
()
Ответ на: комментарий от samson

> привязка IP+MAC элементарно обходится, если ваши пользователи не подключены к управляемому свичу, на котором стоит привязка MAC к порту

Всё же это требует бОльших навыков, нежели прописывание чужого IP. А в виндах замена mac-адреса незнающему человеку и вовсе неочевидна... Так что для защиты от малолетних хакеров "малой кровью" лучше чем ip/mac пока ничего не придумали. Свичи с VLAN денег стОят, а VPN/PPPoE это лишний головняк как админу, так и юзерам.

anonymous
()
Ответ на: комментарий от samson

> -A POSTROUTING -s IP -j MASQUERADE

Мне непонятно вообще, как эта команда без "-o" работает. Маскарадинг берёт внешний IP с интерфейса, а тут он не указан.

anonymous
()
Ответ на: комментарий от samson

user1 ether 00:19:B9:60:6A:CA CM eth0

192.168.0.2 ether 00:19:B9:60:6A:CA CM eth0

Еще не понимаю как может быть такое в выводе arp, если 192.168.0.2 вообще не используется, a ip user1 - 192.168.0.3, MAC один и тот же пишет


Преобразуется нормально, например
$ ping oleg
PING oleg (192.168.0.4) 56(84) bytes of data.
64 bytes from oleg (192.168.0.4): icmp_seq=1 ttl=128 time=0.508 ms
64 bytes from oleg (192.168.0.4): icmp_seq=2 ttl=128 time=0.517 ms

--- oleg ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.508/0.512/0.517/0.023 ms

работает нормально


в dmesg об этом ничего не вижу, пользователи - обычные вендузятники, не думаю, что это им под силу.

Еще вопрос, чем можно проверять, какой ip в данный момент в сети? Arp кажется не очень подходит для этого

GenuS
() автор топика
Ответ на: комментарий от anonymous

> Мне непонятно вообще, как эта команда без "-o" работает

и без -o работает. Можете написать и с -o, так даже правильнее будет.

> не понимаю как может быть такое в выводе arp


такого быть не должно. Точно arp -an выводит два разных ИП с одним МАК?

> чем можно проверять, какой ip в данный момент в сети


nmap?

samson ★★
()
Ответ на: комментарий от samson

 arp -an
? (192.168.0.6) в 00:1E:8C:3F:58:E9 [ether] PERM на eth0
? (192.168.0.5) в 00:1B:FC:77:78:29 [ether] PERM на eth0
? (192.168.0.2) в 00:19:B9:60:6A:CA [ether] PERM на eth0
? (192.168.0.3) в 00:19:B9:60:6A:CA [ether] PERM на eth0
? (192.168.0.4) в 00:1D:09:60:6B:AA [ether] PERM на eth0
? (192.168.0.7) в 00:13:77:9C:54:49 [ether] PERM на eth0
? (192.168.0.1) в <from_interface> PERM PUB на eth0


второй и третий одинаковые

GenuS
() автор топика
Ответ на: комментарий от samson

>> чем можно проверять, какой ip в данный момент в сети

>nmap?

Я о том. кто из подсети в данный момент пользуется интернетом

GenuS
() автор топика
Ответ на: комментарий от GenuS

> Я о том. кто из подсети в данный момент пользуется интернетом

netwatch, iptraf.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.