samba Napisano Wrzesień 1, 2010 Zgłoszenie Share Napisano Wrzesień 1, 2010 Witam Mam 2 interfacy eth0 -10.10.10.1 LAN eth1 -WAN dynamicznie przydzielane Zrobiłem zabezpieczenie przed podszywaniem (dodawaniem nowych kart sieciowych, zmianom mac) 1) w pliku hosts zrobiłem statyczne wpisy : 127.0.0.1 localhost localhost.localdomain ::1 localhost6.localdomain6 localhost6 10.10.10.1 serwer.domena.pl serwer 10.10.10.140 cpg405n 10.10.10.141 hp5000n 10.10.10.142 komp1 itd W pliku /etc/etheres mam wpisy typu: nazwa_komputera adres_mac np: SERWER.DOMENA.PL.PL mac_adress w postaci 00:01:02:03:04:05 komp1 00:1f:d0:27:d1:be do /etc/rc.d/rc.local dodałem wpis aby tablice mac adresów były na sztywno przypisane do adresów aby uniemożliwić przydzielenie IP nowym kartom sieciowym sbin/arp -i eth0 -f /etc/ethers Mój konfig dhcpd.conf option ntp-servers 10.10.10.1; dhcpd_interfaces="eth0"; authoritative; ddns-update-style interim; deny unknown-clients; shared-networkznani_klienci default-lease-time 2880; max-lease-time 2890; option netbios-name-servers 10.10.10.1; option netbios-node-type 8; option ntp-servers 10.10.10.1; authoritative; subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.140 10.10.10.171; deny unknown-clients; } host serwer { hardware ethernet xx:xx:xx:xx:xx; fixed-address 10.10.10.1; } host Rnpe31e23 { hardware ethernet 00:1c:c0:7f:7a:89; fixed-address 10.10.10.143; } } [b]shared-network intruzi { [/b] option routers 10.10.0.1; default-lease-time 360; max-lease-time 360; allow unknown-clients; subnet 10.10.0.0 netmask 255.255.0.0 { range 10.10.0.200 10.10.0.220; } } I teraz mam takie pytania: - jakkolwiek nie zadeklarowałbym hostów które mają na sztywno przypisany IP po MAC dostaję w logach błąd "WARNING: Host declarations are global. They are not limited to the scope you declared them in." 1) Jak zadeklarować aby hosty które otrzymują IP statycznie (shared-network znani_klienci) nie były w sekcji global i odpowiednie ustawienia dhcp odnosiły się tylko do nich?? 2) Jak zrobić aby nieznani klienci (intruzi) dostawali inne ip , maskę itp tak aby nie widzieli sieci 10.10.10.0 ?? 3) czy istnieje sposób aby nieznany host został przekierowany i automatycznie odpalił mu się tekst (poprzez przeglądarkę lub skrypt który mapuje dysk (samba) na którym jest plik tekstowy) z informacją dlaczego nie widzi sieci ?? Przy powyższym configu znane hosty otrzymują maskę oraz ip routera(bramy) z wpisów dla hostów nie znanych (shared-network intruzi)! Oczywiście IP dhcpd przyznaje klientom prawidłowe ale inne wartości - brama, maska itp są złe i pochodzą z sekcji intruzi . Zaremowanie shared-network intruzi i wszystkiego poniżej rozwiązuje problem. JAk zrobić aby intruzi dostali celowo zły adres IP bramy maskę itp a klienci znani normalnie łykali ustawienia ?? 5) przy włączonym skrypcie etheres zauważyłem że nie działa rozwiazywanie nazw tj. tracert wp.pl pokazuje cannot handle "host" cmdline arg wp.pl on position 1 (argc 1) Jak rozwiązać ten problem ?? Mózg mi paruje od wymyślania co może być nie tak Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
samba Napisano Wrzesień 2, 2010 Autor Zgłoszenie Share Napisano Wrzesień 2, 2010 Może ktoś pomóc ? Może znacie jakieś programy bądź lepsze zabezpieczenie przed zmianą adresów mac ?? arpwatch działa biernie tj. wysyła tylko maile że dany IP zmienił MAC natomiast chciałbym aktywnego narzędzia które nie pozwoli na zmianę mac lub zareaguje blokadą IP lub komputera. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Stark Napisano Wrzesień 6, 2010 Zgłoszenie Share Napisano Wrzesień 6, 2010 Witam Może to pomoże ci dojść gdzie jest babol : subnet 10.10.10.0 netmask 255.255.255.0 { <------ Zwróć uwagę na nawias :> Początek deklaracji subnet range 10.10.10.1 10.10.10.120; #Tu deklaracje hostów host serwer { hardware ethernet xx:xx:xx:xx:xx; fixed-address 10.10.10.2; } host serwer { hardware ethernet xx:xx:xx:xx:xx; fixed-address 10.10.10.3; } deny unknown-clients } Daj znać jak poszło GL Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
samba Napisano Wrzesień 9, 2010 Autor Zgłoszenie Share Napisano Wrzesień 9, 2010 Zrobiłem tak : shared-network znaniklienci { subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.140 10.10.10.171; default-lease-time 2880; max-lease-time 2890; option netbios-name-servers 10.10.10.1; option netbios-node-type 8; option ntp-servers 10.10.10.1; authoritative; deklaracje hostów deny unknown-clients; } } Czyli usunąłem nawias "}" pod deny unknown-clients; a dodałem drugi na końcu konfigu oraz przesunąłem linijkę deny unknown-clients na dół configu. W /var/log/messages dostaję WARNING aczkolwiek dhcpd podnosi się WARNING: Host declarations are global. They are not limited to the scope you declared them in. Sep 9 14:43:07 serwer dhcpd: Wrote 0 deleted host decls to leases file. Sep 9 14:43:07 serwer dhcpd: Wrote 0 new dynamic host decls to leases file. Sep 9 14:43:07 serwer dhcpd: Wrote 0 leases to leases file. Tak więc jak ustawić dhcp by deklaracje na szytwno znanych hostów nie były globalne tylko dla sieci znany klienci a dla sieci intruzi- klienci tej sieci mają dostawać błędną maskę oraz IP tak aby nie widzieć sieci 10.10.10.1/24 ?? Ciekawi mnie też jakie ustawienia dhcp mają operatorzy dużych sieci np WIFI gdzie nie znani klienci łącząc się są przekierowani do strony z informacją ? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Stark Napisano Wrzesień 9, 2010 Zgłoszenie Share Napisano Wrzesień 9, 2010 dhcpd.conf # ddns-update-style none; ### PODSIEC 1 ####################################### shared-network my_shared_net { subnet 192.168.104.0 netmask 255.255.255.0 { authoritative; option domain-name "domena.pl"; option domain-name-servers 192.168.104.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.104.255; option routers 192.168.104.1; option netbios-name-servers 192.168.104.1; default-lease-time 86400; max-lease-time 172800; host PRZYKLADOWY { hardware ethernet 00:00:00:00:00:00; fixed-address 192.168.104.2; } } ################## PODSIEC 2 ###################### subnet 192.168.105.0 netmask 255.255.255.0 { authoritative; option domain-name "domena.pl"; option domain-name-servers 192.168.105.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.105.255; option routers 192.168.105.1; option netbios-name-servers 192.168.105.1; default-lease-time 86400; max-lease-time 172800; host PRZYKALDOWY2 { hardware ethernet 00:10:E0:11:C0:00; fixed-address 192.168.105.2; } } ############### PODSIEC 3 ################ subnet 192.168.106.0 netmask 255.255.255.0 { authoritative; option domain-name "domena.pl"; option domain-name-servers 192.168.106.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.106.255; option routers 192.168.106.1; option netbios-name-servers 192.168.106.1; default-lease-time 86400; max-lease-time 172800; host PRZYKLADOWY3 { hardware ethernet 00:1D:7D:A9:39:DC; fixed-address 192.168.106.2; } } } Tak na szybko znalezione Powinno byc ok po dodaniu deny unknow clients.Tylko to jest wersja dla kilku podsieci Nie proście by było zdefiniowac jeden range dla tych co maja sie dostac a całą reszte w deny. Mniej pisania i tylko byś dodawał użytkowników uprawnionych. I chyba lepiej by się tym zarządzało pzdr Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się