Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Запрет доступа по MAC-адресу

Автор: Foxik
Дата сообщения: 22.12.2003 11:24
Возможно ли запретить доступ на сервер по MAC-адресу. С помощью чего это можно реализовать?
Автор: ctolnik
Дата сообщения: 23.12.2003 11:00
Да возможно, но в следствие того что mac адрес меняется стольже легко как и IP смысла 0. Идеальный вариант - это сделать на свитче, можно также использовать программные реализации.
Автор: Foxik
Дата сообщения: 23.12.2003 12:41
ctolnik,

Цитата:
Да возможно, но в следствие того что mac адрес меняется стольже легко как и IP смысла 0.

Я знаю, что mac легко сменить, но уверен 20-30% юзеров об этом незнают

Цитата:
можно также использовать программные реализации.

Какие именно? можно линк на такую программу?
Автор: Duke Shadow
Дата сообщения: 23.12.2003 14:00
Foxik
Squid точно позволяет. Другой вопрос подходит ли это под твой абстрактный "сервер"
Автор: Foxik
Дата сообщения: 23.12.2003 16:15
Duke Shadow,

Цитата:
Squid точно позволяет.

можно прямой линк?

Цитата:
Другой вопрос подходит ли это под твой абстрактный "сервер"

Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там)
Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
Автор: ooptimum
Дата сообщения: 23.12.2003 19:03
Foxik

Цитата:
можно прямой линк?

Какой тебе еще прямой линк? Конфигурируешь Squid с опцией "--enable-arp-acl" и описываешь эти самые ARP ACL'ы в squid.conf. Пользуешься ими так же, как и обычными, например как SRC ACL'ами.


Цитата:
непомогает, он просто меняет айпи.

В этом случае тебе Squid не помошник. Настраивай iptables/ipchains, или что там у тебя.
Автор: Foxik
Дата сообщения: 26.12.2003 12:40
ooptimum,

Цитата:
Какой тебе еще прямой линк?

На squid, где его взять?

Цитата:
этом случае тебе Squid не помошник. Настраивай iptables/ipchains, или что там у тебя.

Вообще ничего не понял, тут что все профессионалы?
Автор: ctolnik
Дата сообщения: 26.12.2003 13:45
по squid
http://squid.directnet.ru/


Добавлено
ещё
http://squid.opennet.ru/
Автор: Strange
Дата сообщения: 26.12.2003 20:55
вообще, в ipfw2 есть блокировка по MAC-адресам.

Foxik
На будущее: пиши операционку - проще думать, какие проги предлагать.
Автор: SXP
Дата сообщения: 26.12.2003 21:52
Foxik
www.visnetic.com
Visnetic Firewall eto pod Win*
Автор: dixinet
Дата сообщения: 27.12.2003 19:09
Ну вы блин насоветовали ему..iptables ему нужен, но он ему похоже не поможет, т.к. если это интернетовский форум, то мак товарища он никак не пропишет нормально, т.к. все маки после следующего же маршрутизатора пойдут в тучу.
Автор: ollv
Дата сообщения: 29.12.2003 09:24
Да... здесь вам не музыка )) , здесь все жестко..
Мак адрес это понятие протокола физического уровня, .. о чем вообще речь? Банить по маку возможно только те станции, что находятся с тобой в одной подсетке (где совпадает протокол физического уровня, в нашем случае езернет на арп, )) ). Роутер при приеме пакетов извлекает (вообще он конечно просто их роутит ему побарабану.. а данные прот физ. уровня меняются автоматом.) инкапслулированные данные протоколов более высокого уровня и отсылает их в другую сеть, конфигурация коей нам совсем не известна там может быть все, что угодно .. единственно что мы можем( даже должны ) надеяться на TCP/IP )) Дык шо после роутера маки не сбиваются в кучу их просто не остается.. Если там в другой сети тоже езернет то, заголовки арп уже вставляются тем интерфейсом которым роутер ходит в ту сеть .. )) ...
Про скуид ваще интересно .. скуид - прокси программа , а защиту строить надо начиная от цепочек в ipchains (сейчас iptables они отличаются синтаксисом построения цепочек и еще чем то,. ну да тока ipchains строил) ... а в задачи скуида входит банить непотребные урлы .. ))
П.С.
Единственный совет (позволю себе).. лучше разобраться с дырками для начала а потом уже и к агрессору можно приступать )) ..
Автор: Rodriges
Дата сообщения: 29.12.2003 09:33
а еще до кучи и задачку усложним - ежели товарищ, присутсвие которого на форуме нежелательно, начнет через разные прокси-сервера лазить? тогда как? запрет IP-адреса, как уже писал Foxik, не помогает...
Автор: Duke Shadow
Дата сообщения: 29.12.2003 15:22
dixinet

Цитата:
если это интернетовский форум, то мак товарища он никак не пропишет нормально

Rodriges

Цитата:
еще до кучи и задачку усложним - ежели товарищ, присутсвие которого на форуме нежелательно, начнет через разные прокси-сервера лазить?

К сожалению да. Забанить методами фильтрации IP/MAC не получится. Непрозрачный прокси спасёт отца русской демократии.
Foxik
Имхо, латать дыры, ставить задержку на посты. Бан по MAC тебе не поможет вообще. Бан по IP легко закроет непрозрачный прокси - в итоге ты получишь огромный список проксей и обломишь каких-нибудь нормальных людей. Эх, тяжела жизнь сервера торчащего в инете.
Автор: ollv
Дата сообщения: 29.12.2003 20:18
/*
Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там)
Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
*/
А как он вообще заходит? Может следует попробовать забанить все порты в iptables пооткрывать только то, что тебе действительно необходимо 80, 25 и т.д. настроить все, что работает с этими портами т.е. в общем надо знать потребности.
У мя стоял сервак, но я там все порты банил оставлял только для почтовых программ и исходящие по 80 порту скриптом отписывал цепочки и усе, но у меня не было необходимости настраивать апатч, хотя, думаю, с ним тоже можно приноровиться. Если же он просто по вебу лезет, то что мешает на вебе с ним разобраться.. (но в смысле корректности это будет минус, я, на пример после того, как вижу попытку запуска екзечины, или желание пропихнуть сервайс, или увеличение количества потоков у експлорера после захода на какой нить ресурс, хожу на него потом оч. осторожно.. , правда надо сказать делал это только поначалу када интересно было, сейчас наверное можно мне напхать, а я и не замечу.. )) занятой стал.. Ха,.. вот в форуме уже цельный день сижу скоро уволят за безделье.. ну да новый год на носу... праздравляю всех ...
Да в общем, я не знаю, хто тут кул, хацкеры по безопасности советуйте.. ))
там вона выше факи страшно подробные.. читай не хочу ))
Автор: Eric Lazzy
Дата сообщения: 29.02.2004 18:40
Робяты! А задачка попроще. Забанить по маку локального зверя, который лезет в и-нет через чужой IP.(прокся - Вынь2003 сервер, роутер - ВыньГад)
Автор: dixinet
Дата сообщения: 29.02.2004 18:57
С выньгадом не знаком, но:
1. Сетевое оборудование, типа кисок такое делает на ура, что у тебя стоит ?
2. Пускать в нет не по IP, а по пользователю/паролю.
3. Ставить файрволл на винду, который умеет по маку резать.
Автор: Eric Lazzy
Дата сообщения: 29.02.2004 19:07
выньгад эт WinGate.

Цитата:
Сетевое оборудование, типа кисок

А это с чем едят?

Цитата:
Пускать в нет не по IP, а по пользователю/паролю

эт у нас сделать низя, сотрудники между собой этим делом делиться будут.

Цитата:
Ставить файрволл на винду, который умеет по маку резать

Какой? Ща тут BlackIce висит (вешал не я, и толку от него не вижу - только ошибки системы дает), мож он чё умеет?
Автор: Dark_Wizard
Дата сообщения: 07.03.2004 16:05

Цитата:
Забанить методами фильтрации IP/MAC не получится

Этовозможно в WinGate 5 но как прописывать все полисайзы блин не помню

И пречём здесь всяки дыры ведь обычный юзер о них даже не имет понятие, ведь если что то случается он завет админа а самому то лень разбиратся, по каким там портам можно пробится, хотя порой встречаются и такие.

Цитата:
Пускать в нет не по IP, а по пользователю/паролю.

Не совсем удобно ибо продукты фирмы Microsoft как всем известно довольно не надежны, и порой приходится у некоторых юзеров переустонавливать систему по 3 раза за неделю.

Foxik
твоя сылочка на Visnetic Firewall, я его там не нахажу.

Добавлено

Цитата:
Какой? Ща тут BlackIce висит (вешал не я, и толку от него не вижу - только ошибки системы дает), мож он чё умеет?

А что ты вешал может подскажеш?
Автор: SXP
Дата сообщения: 07.03.2004 16:56
Dark_Wizard

Цитата:
твоя сылочка на Visnetic Firewall, я его там не нахажу

http://www.deerfield.com/products/visnetic-firewall/
Автор: Dark_Wizard
Дата сообщения: 07.03.2004 20:57
SXP
Спосиба за сылочку, только вот бы еще подсказку как его коректно использовать?
Автор: SXP
Дата сообщения: 07.03.2004 21:03
Dark_Wizard
just write Firewall rule block user with this MAC
Автор: Dark_Wizard
Дата сообщения: 07.03.2004 21:11
SXP
Не я просто не могу понять почему на Settings\Administration почему та стой по дефолту порт 8519, я вроде его какбы не использую?
Автор: SXP
Дата сообщения: 07.03.2004 23:14
Dark_Wizard

Цитата:
Не я просто не могу понять почему на Settings\Administration почему та стой по дефолту порт 8519, я вроде его какбы не использую

этот порт нужен для удаленного контроля фаирвалла
Автор: king_krimson
Дата сообщения: 22.07.2004 16:46
лучшее решение данной проблемы поставить трафик инспектор Trafinspect
Автор: Rasa
Дата сообщения: 25.10.2005 10:28
SXP

Цитата:
just write Firewall rule block user with this MAC

Там NAT есть?
Автор: SXP
Дата сообщения: 25.10.2005 11:58
Rasa

Цитата:
Там NAT есть?

А зачем НАТ пакетному файрваллу... НАТ обеспечивай чем удобно а файрваллом филтруй
Автор: Rasa
Дата сообщения: 26.10.2005 13:21
так фаерволл с натом не подерется с фаерволлом без ната ? :--)
Автор: SXP
Дата сообщения: 26.10.2005 19:05
Rasa
не должен
Автор: franzykman
Дата сообщения: 13.03.2012 11:21
Есть ли какие-нибудь программки для осуществления блокировки соединений недоброжелательных юзеров локалки с компом по МАК-адресу? Очень нужно.

Страницы: 12

Предыдущая тема: LDAP в MDaemon


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.