Проверка существования дублирующих ip/mac

0

0

У нас локалка, в интернет выходим через шлюз по паре(ip/mac). Как понимаете это чревато тем, что появляются халявщики, гораздые иметь интернет за чужой счёт. Так вот какие в Linux есть средства для мониторинга этого дела? Винда показывает предупреждение, когда есть совпадение(правда точно не знаю показывает ли она по mac). Как подобное сделать в Linux? Ещё нужно уметь отправлять ping от другого ip и mac, с блокированием своих. В принципе отправку можно написать и самому, но libpcap насколько я знаю, только под виндой умеет отправлять сырые ethernet пакеты. Так что прошу совета, наверняка это уже есть.

Ссылка

←	Существует ли аналог Skype с уклоном в паранойю?

Portsenrty

→

man arping

arping -D -I eth0 xxx.yyy.zzz.www

arsi ★★★★★
(10.02.10 11:16:02 MSK)

Ответ на: комментарий от arsi 10.02.10 11:16:02 MSK

А можно поподробнее, как это работает?

Booster ★★
(10.02.10 11:22:08 MSK) автор топика

Ответ на: комментарий от Booster 10.02.10 11:22:08 MSK

http://en.wikipedia.org/wiki/Arping

http://www.opennet.ru/cgi-bin/opennet/man.cgi?topic=arping&category=8

http://www.ietf.org/rfc/rfc2131.txt

arsi ★★★★★
(10.02.10 11:27:10 MSK)

Ответ на: комментарий от arsi 10.02.10 11:27:10 MSK

Да нет. :) Меня интересует не как работает arping, а механика выявления дубликатов. Мутно как-то описано.

Booster ★★
(10.02.10 11:29:21 MSK) автор топика

arpwatch. Осильте что-ли pppoe какое-нибудь, чтоб на это без смеха смотреть можно было.

anonymous
(10.02.10 11:30:32 MSK)

Ответ на: комментарий от anonymous 10.02.10 11:30:32 MSK

А как следить за связкой ip/mac?

Booster ★★
(10.02.10 11:38:02 MSK) автор топика

ip-sentinel + arpwatch + «умный» свич, который может запомнить маки на портах.

А лучше туннели поднимать, как аноним отписал. Биллинговать потом попроще будет.

Slavaz ★★★★★
(10.02.10 11:39:38 MSK)

Ссылка

Ответ на: комментарий от Booster 10.02.10 11:38:02 MSK

> А как следить за связкой ip/mac?

зачем? С туннелем вы будете следить только за связкой «имя пользователя => ip-адрес внутри туннеля». При этом пользователи вольны будут менять у себя железки без обращения к вам.

Slavaz ★★★★★
(10.02.10 11:41:09 MSK)

Ответ на: комментарий от Booster 10.02.10 11:38:02 MSK

Никак. Или без фрикционных стимуляций мозга не живётся?

anonymous
(10.02.10 11:44:45 MSK)

Ответ на: комментарий от Slavaz 10.02.10 11:41:09 MSK

>зачем? С туннелем вы будете следить только за связкой «имя пользователя => ip-адрес внутри туннеля». При этом пользователи вольны будут менять у себя железки без обращения к вам.
Штука в том, что я не админ, и вообще к нашему провайдеру отношения не имею, так что туннель поставить не смогу. ^) Хулиганов как-то мониторить нужно, для своей связки конечно.

Booster ★★
(10.02.10 11:44:56 MSK) автор топика

Ответ на: комментарий от anonymous 10.02.10 11:44:45 MSK

Ну проверить-то теоретически можно, отправив пинг на свою же пару, по идее должен придти ответ из сети.

Booster ★★
(10.02.10 11:48:51 MSK) автор топика

Ссылка

Ответ на: комментарий от Booster 10.02.10 11:44:56 MSK

>Хулиганов как-то мониторить нужно

не нужно, меняйте провайдера

hizel ★★★★★
(10.02.10 11:53:05 MSK)

Ответ на: комментарий от hizel 10.02.10 11:53:05 MSK

Провайдера к сожалению, поменять не представляется возможным.

Booster ★★
(10.02.10 11:59:35 MSK) автор топика

Ссылка

Ответ на: комментарий от Slavaz 10.02.10 11:41:09 MSK

В смысле «имя пользователя => ip-адрес внутри туннеля»? А как же пароль?

Booster ★★
(10.02.10 12:00:11 MSK) автор топика

Если уж тут советуют туннель, то посоветуйте какой-нибудь конкретный/удобный. Наш провайдер это школьники, может что посоветую им. ^)

Booster ★★
(10.02.10 12:01:53 MSK) автор топика

Ссылка

Ответ на: комментарий от Booster 10.02.10 12:00:11 MSK

У меня авторизация по логину и паролю. И к каждому логину IP прибит гвоздями

anonymous
(10.02.10 12:06:17 MSK)

Ответ на: комментарий от anonymous 10.02.10 12:06:17 MSK

>У меня авторизация по логину и паролю. И к каждому логину IP прибит гвоздями
А как реализовано? У нас раньше был трафик инспектор, но это ужас.

Booster ★★
(10.02.10 12:08:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Booster 10.02.10 11:29:21 MSK

>механика выявления дубликатов

Механика простая, посылается запрос и смотрится ответ. Обычно, те кто меняют ip/mac-адреса не особо заботятся о том, чтобы не засветиться.

Раньше, на заре сетестоительства, когда эта проблема была актуальна делали всякие утилиты, ИМХО, эта самая допиленнная (она следит за адресами и устраивает на них arp-атаку) http://hosting.hovrino.net/livemac/livemac.txt . Но она базово под 2.4 ядро, хотя и под 2.6.8.1, боюсь что у вас она не заработает. А сейчас эта проблемма отпала (перешли на тунели и/или порт управляемого коммутатора на клиента), и поэтому врядли кто ещё будет дорабатывать эту утилиту.

mky ★★★★★
(10.02.10 12:30:44 MSK)

Ответ на: комментарий от mky 10.02.10 12:30:44 MSK

Может просто граничный прокси поставить? И его IP/Mac у провайдера сделать единственным доступным. Самый простой вариант, на мой взгляд. А на прокси уже авторизацию прикрутить.

gserg ★★
(10.02.10 18:00:02 MSK)

Ответ на: комментарий от gserg 10.02.10 18:00:02 MSK

Дак это и получится трафик инспектор :). Я как понял, у них «провайдер» ничего сделать не может (именно не может) и нужно самим навести порядок в своём районе.

А так, ИМХО, лучше всего VPN на основе pptp + NAT, этот вид VPN, ИМХО, лучше всего поддерживается «из коробки» в дефаулт ОС.

mky ★★★★★
(11.02.10 07:47:55 MSK)

Ссылка

> но libpcap насколько я знаю, только под виндой умеет отправлять сырые ethernet пакеты
4.2

Если на C писать лень, то можно заюзать питоновкий scapy. Там довольно просто всё пишется.

Nao ★★★★★
(11.02.10 14:02:49 MSK)

Ответ на: комментарий от Nao 11.02.10 14:02:49 MSK

> но libpcap насколько я знаю, только под виндой умеет отправлять сырые ethernet пакеты

4.2

Это я у них в доке вычитал, хотя может уже и допилили, надо будет посмотреть.

Booster ★★
(12.02.10 11:04:09 MSK) автор топика

Ссылка

нужно переодически спамить гейт arp запроса содержания:

ты спрашиваешь у него от своего ип и своего мака, «а у кого мой ип?» и гейт заносит в кэш твой ип и мак.

dimon555 ★★★★★
(14.02.10 20:52:47 MSK)

Ссылка

Вообще лучше конечно как советовали туннель pppoe/pptp/l2tp. Если это невозможно, то можно попробовать поиграться со статическими записями в arp таблице шлюза - если есть статическая запись в arp таблице, то шлюз не должен генерировать arp запросы для этого ip. таким образом с точки зрения шлюза есть привязка mac к ip.

~~tux2002~~ ★
(17.02.10 13:54:29 MSK)

Ссылка

> У нас локалка, в интернет выходим через шлюз по паре(ip/mac). Как понимаете это чревато тем, что появляются халявщики, гораздые иметь интернет за чужой счёт.

а вы уверены что у вас неуправляемые свичи стоят? уж слишком как-то глупо это, мне кажется что подобных идиотов просто уже не осталось, так как выжить сложно при такой постанове. arp-ы видно tcpdump-ом?

r0mik ★
(20.02.10 16:18:47 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Существует ли аналог Skype с уклоном в паранойю?

Security

Portsenrty

→

Похожие темы