Интересная тема, IMHO... =))

0

0

Hi, All!
~~~~~~~~

Короче, есть домашняя сетка на 40 машин, есть канал в инет (платим за траффик). Есть проблема того, что люди могут изменить пару IP-MAC и тратить чужие деньги. Видимое решение: VPN (например MS PPTP - есть у всех и работает везде :) ) от клиента до рутера (а дальше в инет). Проблема - как отсечь людей лезущих без VPN через этот рутер???

Проблема в том, что этот рутер стоит в центре "звезды" и люди на одном луче "звезды" должны свободно общаться с людьми на другом луче. То есть меж лучами пакеты идут: 10.1.1.0/24 -> 10.0.0.1/32 -> 10.2.1.0/24 и обратно. (В центре, рутер) А в инет идут 10.1.1.0/24 -> 10.0.0.1/32 -> MASQ -> 0/0.

Если видимое решение реализовать, то можно решить до фига разных проблем домашних сетей: учет траффика не по IP, а по login'у, динамическое выделение IP, невозможность "подсиживания" соседа.

P.S. Надеюсь тема интересная не только мне

(GalaxyMaster) // D$C

Ссылка

←	Какие баги в RedHat 5.2.????

Безопасность применения PHP

→

а может взять роутер вумный. Да сказать ему чно вот на этом порту
тока такой arp и тока такой ip. По моему каталист от cisco без проблем
решает такие задачи , он же и всю таблицу заморозит ?

Aleks_IZA ★
(21.11.00 19:12:28 MSK)

Ссылка

Надо не изъебываться а купить свитч с контролем MAC адресов.

ivlad ★★★★★
(21.11.00 22:38:16 MSK)

Ссылка

От стольких проблем сразу избавитесь...

ivlad ★★★★★
(21.11.00 22:40:08 MSK)

Ссылка

Да вы не понимаете, как мне быть с мобильными клиентами??? С теми, кто сменяет постоянно ноуты, просто с людми ходящими к друг другу в гости?? Привязка к IP/MAC - это анахронизм (вспомните привязку совковых программ к чексумме биоса машины - купил программу - и все повязан ни комп поменять, и т.д.)... Я хотел добится именно _мобильности_ клиентов и универсальности... но есть люди, коие это уже реализовали... По крайней мере мне на мыло пришле дельные советы... =)))

galaxy ★
(22.11.00 05:41:27 MSK) автор топика

Ссылка

А по-поводу свича... =))) Как ты себе представляешь схему сети охватывающую 20 домов??? когда хабы стоят на этажах в щитках??? =)) Да... послушать 3COM или Cisco _как_ надо строить сети - клево, только в России в домашних сетях - это не канает...

galaxy ★
(22.11.00 05:43:58 MSK) автор топика

Ссылка

Да было уже решение: получают DHCP-адрес, залогиниваются на роутре, там вместо шела - программа, поднимающая masq и счетчик траффика на IP вощедшего. Проблема при этом одна - надо как-то закрывать этот IP во вне при долгой неактивности, чтобы при вновь вошедшему не был доступ, хотя опять же можно привязать ПОСЛЕ захода в эту прогу MAC.

vodz ★★★★★
(23.11.00 15:59:08 MSK)

Ссылка

Я не понял - 40 машин или 20 домов?
Разница все-таки немалая.

Приязка MAC к порту на свитче -- это не анахронизм в правильное решение.
Можешь, конечно, понаоткрывать PPTP и делать через это...
Только это изврат...
Хотя, если нет другого решения....
А! Можно не PPTP а PPPoE сделать.
Тоже вариант кстати.

А хабы в щитках ставить совершенно ни к чему. ;)

ivlad ★★★★★
(24.11.00 04:01:49 MSK)

Ссылка

используй лучше IpSec вместо PPTP, PPTP - дырявая масдаевская приблуда...

anonymous
(05.12.00 19:49:01 MSK)

Ссылка

Хм. Так а какие советы пришли на мыло? ;)
Очень итересно.

ivlad ★★★★★
(06.12.00 01:50:43 MSK)

Ссылка

Поставь squid и прекрути авторизацию и тогда клиент с любой машины может ходить в интернет. И не надо IP и MAC!

logrus ★
(26.12.00 15:02:21 MSK)

Ссылка

вотс все достаточно просто !

Берем у cisco на всякие этажи свитчи с модулями isl
самый дешевый 12-портов 1000 баксов!
В центр савим тоже от циско свичь с isl & layer3 надо сказать
недешевая штука минимум от 6000 баксов!
Теперь схема на свичах делаем Vlan-ы по портам свича !
Транки заводим на центральный swith layer3!
На центральном свитче каждому Vlan-у прописываем что дефаулт
адресс такойто Например Vlan2 (192.168.2.0/24) default gw 192.168.2.1/24
для 192.168.2.0/24 default qw 192.168.2.1/24!
Теперь на этом default поднимаем кучу алиасов или second ip!
с масками /24 ! Во всех свичах по дефаулту уже будет Vlan1 для
Vlan1 на роутере не пишем gw для пущей секьюрности! И на роутере
для Vlan1 непишем никакой маршрутизации!

Теперь еще заставим центральный свич роутить пакеты между Vlan-ами
:-) чтобы-звери могли пинговать друг друга !

Ну а теперь самое главное!
Ежели юзер сидит в Vlan2 с ip 192.168.2.5 то gw 192.168.2.1/24
Если юзер меняет ip на другой сети 192.168.3.5 то gw у него обламывается
так-же обламывается и роутинг в другие Vlan!
Ну а мак адресса нипричем останутся :-) !
Так что каждому зверю по Vlan -у а дальше пусть что хочет то и творит!
И считать траффик по сеткам на юзверов !

PS: Я долго рылся на тему Vlan-ов должно работать ! Но вот мя контора
даже недала денег на 3com layer3 блин всего-то 3000 баксов :-(
так-что на практике это я нереализовал :-( все теория !

Aleks_IZA ★
(29.12.00 07:27:50 MSK)

Ссылка

SQUID?!

SQUID ! i ni kakogo masqaruade !
Squid avtorizuet po luboi auth progs! Hosh RADIUS prikruti,
hosh ncsauth
icq puskai cherez socks
SQUID cache pozvolit ludyam eshe i platit` menshe
Pravda clear text password :((
Kstati socks toge poddergivaet avtorizaciu
IMHO eto samoe prostoe i bystroe reshenie problemy!

sandman ★
(30.12.00 07:12:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Какие баги в RedHat 5.2.????

Security

Безопасность применения PHP

→

SQUID?!

Похожие темы