Подделка ip-адреса

вообщето man arp .......
arp -s IP_ADRESS MAC_ADRESS
для того чтобы посмотреть MAC_ADRESS:
ping IP_ADRESS
arp -n

фигня, при появлении ип с другим адресом в арп-таблицу добавится новая запись. короче, я тут уже писал по этому вопросу. ищщите, дяди/тёти.
---
wtf_

1. В /etc/host.conf добавить nospoof on
2.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
> echo 1 > $f
> done

Все приведенное из книжки Securing and Optimizing linux RH Edition.
Валяется на www.linuxdoc.org. Советую быть осторожным при
использовании данного труда.

Гы! Очень осторожным %)) У меня пару раз стендовый сервак слетал после установки параметров ядра из ентой книжонки.... Я сделал проще - поставил arpwatch и теперь е.... умников %)

Не фигня, запрещенные ИП надо закрывать файрволом, а не арпами.
Запрещение системе самой назначать новые ARP адреса, плохой тон

Поподробней про фаервол! Как ты собираешься с помощью него исключить подделку айпи ???
Ед решение по-моему это что-нить типа 3com SuperStack Switch 1100 c привязкой портов к макам :(((

Разрешенные IP от подмены защищаются при помощи arp -s IP MAC, запрещенные закрываются файрволом. Письмо было к тому, что человек жаловался, что кернел сам в арп таблицу добавляет... То что указано при помощи arp -s кернел менять не будет. А вот чтобы новое не добавлял просто закрыть ненужное файрволом.

Есть софтины позволяющие менять маки %( Сам не пробовал но допускаю что это так :(((

Ну, тут уж ничего не поделаешь, под линухом например вообще не проблема мак сменить, только дело в том, что это может сделать значетельно меньше юзеров чем может сменить ИП.

Тады Свичт, Свичт и еще раз Свичт :)

MAC адреса меняются на раз, сам пробовал. Правда пробовал только с картами RTL 8129, как обстаят дела с другими картами не знаю.

Ели нет возможности вешать каждого пользователя на отдельный порт управляемого свитча (а скорее всего нет, так как это дорого) используй VPN.

Можно использоватать решения на основе ipsec (под Linux это FreeS\WAN
реализует), где в каждом пакете, который передается по тунелю есть информация однозначно идентифицирующая пользователя. Таким образом человек, сменивший ip адрес больше не сможет коннектиться на твой сервер. Причем надежность гарантируется открытыми криптографическими алгоритмами высокой стойкости.

Можешь использовать PPTP -> PPP виртуальные сети (решение от Microsoft) - менее надежное, но думае все равно не найдеться людей в масштабах локальной сети, которые смогут его взломать..

У меня в районной сети для авторизации пользователей используется гибридное решение:
поверх ipsec тунелей работает pptp и ppp. Больше у меня нет проблем с подделками ни ip адресов, ни mac адресов..

AlexK

Подтверждаю правдивость (и разумность) слов предыдущего докладчика. От себя хочу добавить, что при обслуживании станций под Вынь (учитывая доводы параграфа 4 уважаемого AlexK'a), использование РРТР является наиболее простым из доступных (практически бесплатно) решений. Сам пользую (и всем рекомендую) с тех пор, как появильсь умники с адаптерами RTL8029.

To: AlexK очень хочется с тобой поболтать!!! Мона?

Ок, а где можно найти пример настройки сервера чтоб винды канектились?? Я пробывал, но либо винды (клиент) намертво вис, либо .... В общем не работоло :(((

to gdenis: icq 54287746 AlexK

А как быть с подсчетом траффика? Мда, нуно думкать...