как привязать MAC к IP?

Denis · Сообщение **Denis** » 01 мар 2004, 11:55

arp -s $IP $MAC не помогает. все равно к сереру есть доступ если сменить у себя IP
arp -s $IP $MAC -i eth0 pub имхо делает что то не то, или я просто не понял...

з.ы. ASPLinux 9.0

Гость · Сообщение **Гость** » 02 мар 2004, 16:54

В iptables есть фильтрация по MAC-адресам.
Или чего надо ?

Denis · Сообщение **Denis** » 02 мар 2004, 17:17

надо что бы пользователи не могли менят себе IP адреса.

fa3a · Сообщение **fa3a** » 02 мар 2004, 18:07

не давай им root-а

а вааще сделай DHCP т.е. динамическое выделение IP аддресов и привяжи их к MAC адресам в настройках /etc/dhcpd.conf

Код: Выделить всё

...
                        hardware ethernet 00:09:6b:63:50:29;
                        fixed-address 172.20.0.101;
...

Llama · Сообщение **Llama** » 02 мар 2004, 18:30

Denis, пользователь может меняь ip пока он имеет права админа на машине. Т.е. в случае виндов - практически всегда.
1) Поднять DHCP и отдавать ip сугубо по MAC
2) Довать доступ куда-либо только после проверки совпадения ip и MAC при помощи iptables.

Denis · Сообщение **Denis** » 03 мар 2004, 14:15

1)а если он сами себе поставят адрес, вручную, что что?

Llama · Сообщение **Llama** » 03 мар 2004, 14:41

Denis, ничего с этим сделать нельзя. только отобрать права локального админа на виндах. Как вариант - просто отлавливать пакеты для которых не совпадают mac <-> ip - но это как-то больно геморройно получается. Еще вариант - периодически просматирвать таблицу arp опять же на несовпадение ip <-> mac и опять же давать по ушам умникам. Еще вариант - сделать поверх локалки vpn - то гда все вообще будет пускать только по паролям... Если позволяют средства можно посмотреть в сторону vlan. Но со всех точек зрения полезнее будет отабрать права админа у юзверей.

Denis · Сообщение **Denis** » 03 мар 2004, 15:00

да это для домашней сети. так что отобрать права админа там не получится

остается только читать сообщения от arpwatch и пинать "умников"

а на работе все ок. народ работает и ему пофиг како у него адрес.

Llama · Сообщение **Llama** » 03 мар 2004, 15:10

Denis, а зачем тебе это надо? Если нужно контролировать доступ к ресурсам (inet, сервер) - то ИМХО грамотнее ставить vpn

Denis · Сообщение **Denis** » 17 мар 2004, 17:25

нашел решение
arp -s $IP $MAC
ifconfig eth0 -arp (отключаем "обучение" новым МАСам)

Llama · Сообщение **Llama** » 17 мар 2004, 19:35

Denis, гм, и все-таки есть множество сетевух, где можно запросто сменит MAC. Есто, говрят, даже такие, где это делается в реестре винды. VPN понадежнее будет... кроме того, таким способом ты прикроешь только сервер - гадить друг другу это не помешает.