Возможно ли запретить доступ на сервер по MAC-адресу. С помощью чего это можно реализовать?
» Запрет доступа по MAC-адресу
Да возможно, но в следствие того что mac адрес меняется стольже легко как и IP смысла 0. Идеальный вариант - это сделать на свитче, можно также использовать программные реализации.
ctolnik,
Цитата:
Я знаю, что mac легко сменить, но уверен 20-30% юзеров об этом незнают
Цитата:
Какие именно? можно линк на такую программу?
Цитата:
Да возможно, но в следствие того что mac адрес меняется стольже легко как и IP смысла 0.
Я знаю, что mac легко сменить, но уверен 20-30% юзеров об этом незнают
Цитата:
можно также использовать программные реализации.
Какие именно? можно линк на такую программу?
Foxik
Squid точно позволяет. Другой вопрос подходит ли это под твой абстрактный "сервер"
Squid точно позволяет. Другой вопрос подходит ли это под твой абстрактный "сервер"
Duke Shadow,
Цитата:
можно прямой линк?
Цитата:
Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там
)
Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
Цитата:
Squid точно позволяет.
можно прямой линк?
Цитата:
Другой вопрос подходит ли это под твой абстрактный "сервер"
Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там
) Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
Foxik
Цитата:
Какой тебе еще прямой линк? Конфигурируешь Squid с опцией "--enable-arp-acl" и описываешь эти самые ARP ACL'ы в squid.conf. Пользуешься ими так же, как и обычными, например как SRC ACL'ами.
Цитата:
В этом случае тебе Squid не помошник. Настраивай iptables/ipchains, или что там у тебя.
Цитата:
можно прямой линк?
Какой тебе еще прямой линк? Конфигурируешь Squid с опцией "--enable-arp-acl" и описываешь эти самые ARP ACL'ы в squid.conf. Пользуешься ими так же, как и обычными, например как SRC ACL'ами.
Цитата:
непомогает, он просто меняет айпи.
В этом случае тебе Squid не помошник. Настраивай iptables/ipchains, или что там у тебя.
ooptimum,
Цитата:
На squid, где его взять?
Цитата:
Вообще ничего не понял, тут что все профессионалы?
Цитата:
Какой тебе еще прямой линк?
На squid, где его взять?
Цитата:
этом случае тебе Squid не помошник. Настраивай iptables/ipchains, или что там у тебя.
Вообще ничего не понял, тут что все профессионалы?
вообще, в ipfw2 есть блокировка по MAC-адресам.
Foxik
На будущее: пиши операционку - проще думать, какие проги предлагать.
Foxik
На будущее: пиши операционку - проще думать, какие проги предлагать.
Ну вы блин насоветовали ему..iptables ему нужен, но он ему похоже не поможет, т.к. если это интернетовский форум, то мак товарища он никак не пропишет нормально, т.к. все маки после следующего же маршрутизатора пойдут в тучу.
Да... здесь вам не музыка )) , здесь все жестко..
Мак адрес это понятие протокола физического уровня, .. о чем вообще речь? Банить по маку возможно только те станции, что находятся с тобой в одной подсетке (где совпадает протокол физического уровня, в нашем случае езернет на арп, )) ). Роутер при приеме пакетов извлекает (вообще он конечно просто их роутит ему побарабану.. а данные прот физ. уровня меняются автоматом.) инкапслулированные данные протоколов более высокого уровня и отсылает их в другую сеть, конфигурация коей нам совсем не известна там может быть все, что угодно .. единственно что мы можем( даже должны ) надеяться на TCP/IP )) Дык шо после роутера маки не сбиваются в кучу их просто не остается.. Если там в другой сети тоже езернет то, заголовки арп уже вставляются тем интерфейсом которым роутер ходит в ту сеть .. )) ...
Про скуид ваще интересно .. скуид - прокси программа , а защиту строить надо начиная от цепочек в ipchains (сейчас iptables они отличаются синтаксисом построения цепочек и еще чем то,. ну да тока ipchains строил) ... а в задачи скуида входит банить непотребные урлы .. ))
П.С.
Единственный совет (позволю себе).. лучше разобраться с дырками для начала а потом уже и к агрессору можно приступать )) ..
Мак адрес это понятие протокола физического уровня, .. о чем вообще речь? Банить по маку возможно только те станции, что находятся с тобой в одной подсетке (где совпадает протокол физического уровня, в нашем случае езернет на арп, )) ). Роутер при приеме пакетов извлекает (вообще он конечно просто их роутит ему побарабану.. а данные прот физ. уровня меняются автоматом.) инкапслулированные данные протоколов более высокого уровня и отсылает их в другую сеть, конфигурация коей нам совсем не известна там может быть все, что угодно .. единственно что мы можем( даже должны ) надеяться на TCP/IP )) Дык шо после роутера маки не сбиваются в кучу их просто не остается.. Если там в другой сети тоже езернет то, заголовки арп уже вставляются тем интерфейсом которым роутер ходит в ту сеть .. )) ...
Про скуид ваще интересно .. скуид - прокси программа , а защиту строить надо начиная от цепочек в ipchains (сейчас iptables они отличаются синтаксисом построения цепочек и еще чем то,. ну да тока ipchains строил) ... а в задачи скуида входит банить непотребные урлы .. ))
П.С.
Единственный совет (позволю себе).. лучше разобраться с дырками для начала а потом уже и к агрессору можно приступать )) ..
а еще до кучи и задачку усложним - ежели товарищ, присутсвие которого на форуме нежелательно, начнет через разные прокси-сервера лазить? тогда как? запрет IP-адреса, как уже писал Foxik, не помогает...
dixinet
Цитата:
Rodriges
Цитата:
К сожалению да. Забанить методами фильтрации IP/MAC не получится. Непрозрачный прокси спасёт отца русской демократии.
Foxik
Имхо, латать дыры, ставить задержку на посты. Бан по MAC тебе не поможет вообще. Бан по IP легко закроет непрозрачный прокси - в итоге ты получишь огромный список проксей и обломишь каких-нибудь нормальных людей. Эх, тяжела жизнь сервера торчащего в инете.
Цитата:
если это интернетовский форум, то мак товарища он никак не пропишет нормально
Rodriges
Цитата:
еще до кучи и задачку усложним - ежели товарищ, присутсвие которого на форуме нежелательно, начнет через разные прокси-сервера лазить?
К сожалению да. Забанить методами фильтрации IP/MAC не получится. Непрозрачный прокси спасёт отца русской демократии.
Foxik
Имхо, латать дыры, ставить задержку на посты. Бан по MAC тебе не поможет вообще. Бан по IP легко закроет непрозрачный прокси - в итоге ты получишь огромный список проксей и обломишь каких-нибудь нормальных людей. Эх, тяжела жизнь сервера торчащего в инете.
/*
Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там)
Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
*/
А как он вообще заходит? Может следует попробовать забанить все порты в iptables пооткрывать только то, что тебе действительно необходимо 80, 25 и т.д. настроить все, что работает с этими портами т.е. в общем надо знать потребности.
У мя стоял сервак, но я там все порты банил оставлял только для почтовых программ и исходящие по 80 порту скриптом отписывал цепочки и усе, но у меня не было необходимости настраивать апатч, хотя, думаю, с ним тоже можно приноровиться. Если же он просто по вебу лезет, то что мешает на вебе с ним разобраться.. (но в смысле корректности это будет минус, я, на пример после того, как вижу попытку запуска екзечины, или желание пропихнуть сервайс, или увеличение количества потоков у експлорера после захода на какой нить ресурс, хожу на него потом оч. осторожно.. , правда надо сказать делал это только поначалу
када интересно было, сейчас наверное можно мне напхать, а я и не замечу.. )) занятой стал.. Ха,.. вот в форуме уже цельный день сижу скоро уволят за безделье.. ну да новый год на носу... праздравляю всех ...
Да в общем, я не знаю, хто тут кул, хацкеры по безопасности советуйте.. ))
там вона выше факи страшно подробные.. читай не хочу ))
Ладно расскажу подробней, вообщем есть сервер(Apache+MySQL, но так как я новичёк много дыр там)
Вообщем наповадился один человек ламать форум, банил ip в файрволе, непомогает, он просто меняет айпи.
Пойдем на крайние методы
*/
А как он вообще заходит? Может следует попробовать забанить все порты в iptables пооткрывать только то, что тебе действительно необходимо 80, 25 и т.д. настроить все, что работает с этими портами т.е. в общем надо знать потребности.
У мя стоял сервак, но я там все порты банил оставлял только для почтовых программ и исходящие по 80 порту скриптом отписывал цепочки и усе, но у меня не было необходимости настраивать апатч, хотя, думаю, с ним тоже можно приноровиться. Если же он просто по вебу лезет, то что мешает на вебе с ним разобраться.. (но в смысле корректности это будет минус, я, на пример после того, как вижу попытку запуска екзечины, или желание пропихнуть сервайс, или увеличение количества потоков у експлорера после захода на какой нить ресурс, хожу на него потом оч. осторожно.. , правда надо сказать делал это только поначалу
када интересно было, сейчас наверное можно мне напхать, а я и не замечу.. )) занятой стал.. Ха,.. вот в форуме уже цельный день сижу скоро уволят за безделье.. ну да новый год на носу... праздравляю всех ... Да в общем, я не знаю, хто тут кул, хацкеры по безопасности советуйте.. ))
там вона выше факи страшно подробные.. читай не хочу ))
Робяты! А задачка попроще. Забанить по маку локального зверя, который лезет в и-нет через чужой IP.(прокся - Вынь2003 сервер, роутер - ВыньГад)
С выньгадом не знаком, но:
1. Сетевое оборудование, типа кисок такое делает на ура, что у тебя стоит ?
2. Пускать в нет не по IP, а по пользователю/паролю.
3. Ставить файрволл на винду, который умеет по маку резать.
1. Сетевое оборудование, типа кисок такое делает на ура, что у тебя стоит ?
2. Пускать в нет не по IP, а по пользователю/паролю.
3. Ставить файрволл на винду, который умеет по маку резать.
выньгад эт WinGate.
Цитата:
А это с чем едят?
Цитата:
эт у нас сделать низя, сотрудники между собой этим делом делиться будут.
Цитата:
Какой? Ща тут BlackIce висит (вешал не я, и толку от него не вижу - только ошибки системы дает), мож он чё умеет?
Цитата:
Сетевое оборудование, типа кисок
А это с чем едят?
Цитата:
Пускать в нет не по IP, а по пользователю/паролю
эт у нас сделать низя, сотрудники между собой этим делом делиться будут.
Цитата:
Ставить файрволл на винду, который умеет по маку резать
Какой? Ща тут BlackIce висит (вешал не я, и толку от него не вижу - только ошибки системы дает), мож он чё умеет?
Цитата:
Забанить методами фильтрации IP/MAC не получится
Этовозможно в WinGate 5 но как прописывать все полисайзы блин не помню
И пречём здесь всяки дыры ведь обычный юзер о них даже не имет понятие, ведь если что то случается он завет админа а самому то лень разбиратся, по каким там портам можно пробится, хотя порой встречаются и такие.
Цитата:
Пускать в нет не по IP, а по пользователю/паролю.
Не совсем удобно ибо продукты фирмы Microsoft как всем известно довольно не надежны, и порой приходится у некоторых юзеров переустонавливать систему по 3 раза за неделю.
Foxik
твоя сылочка на Visnetic Firewall, я его там не нахажу.
Добавлено
Цитата:
Какой? Ща тут BlackIce висит (вешал не я, и толку от него не вижу - только ошибки системы дает), мож он чё умеет?
А что ты вешал может подскажеш?
Dark_Wizard
Цитата:
http://www.deerfield.com/products/visnetic-firewall/
Цитата:
твоя сылочка на Visnetic Firewall, я его там не нахажу
http://www.deerfield.com/products/visnetic-firewall/
SXP
Спосиба за сылочку, только вот бы еще подсказку как его коректно использовать?
Спосиба за сылочку, только вот бы еще подсказку как его коректно использовать?
Dark_Wizard
just write Firewall rule block user with this MAC
just write Firewall rule
block user with this MAC SXP
Не я просто не могу понять почему на Settings\Administration почему та стой по дефолту порт 8519, я вроде его какбы не использую?
Не я просто не могу понять почему на Settings\Administration почему та стой по дефолту порт 8519, я вроде его какбы не использую?
Dark_Wizard
Цитата:
этот порт нужен для удаленного контроля фаирвалла
Цитата:
Не я просто не могу понять почему на Settings\Administration почему та стой по дефолту порт 8519, я вроде его какбы не использую
этот порт нужен для удаленного контроля фаирвалла
лучшее решение данной проблемы поставить трафик инспектор Trafinspect
SXP
Цитата:
Там NAT есть?
Цитата:
just write Firewall rule block user with this MAC
Там NAT есть?
Rasa
Цитата:
А зачем НАТ пакетному файрваллу... НАТ обеспечивай чем удобно а файрваллом филтруй
Цитата:
Там NAT есть?
А зачем НАТ пакетному файрваллу... НАТ обеспечивай чем удобно а файрваллом филтруй
так фаерволл с натом не подерется с фаерволлом без ната ? :--)
Rasa
не должен
не должен
Есть ли какие-нибудь программки для осуществления блокировки соединений недоброжелательных юзеров локалки с компом по МАК-адресу? Очень нужно.
Предыдущая тема: LDAP в MDaemon
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.