wymuszenie IP serwera, 'lewe' podłączenia do sieci

[kacper]

Witam,

Mam dwie sprawy, od jakiegoś czasu w jednej z sieci ludzie sobie stawiają jakieś AP'ki i próbują wymusić dzielenie łącza na lewo, właściwie 'na lewo' ponieważ jest to sieć na którą wszyscy się składają i nikt na niej nie zarabia. Od czasu do czasu pomagam tam znajomemu ogarnąć ten bajzel i jest pewien problem, otóż w/w AP przypisują sobie adres 192.168.1.1, który posiada główny serwer z dhcp/htb/nat itd, nie raz pojawiają się konflikty i ludzie nie mogą uzyskać adresów z dhcp.
Jak wymusić na głównym serwerze żeby tylko on miał adres 192.168.1.1 a inne które próbują to zrobić lądowały w /dev/null? Serwer posiada dwie sieciówki, jedna pod DSL druga do switcha.

A druga sprawa, to znacie jakieś dość skuteczne metody na amatorów podpinania się na lewo? Ja zawsze korzystałem z arp -f i tablicy w /etc/ethers, ale pewnie są już skuteczniejsze metody.

[timor]

Żeby zablokować takie konfiguracje musiałbyś ustawić blokowanie portów na switchu jeśli ktoś inny ustawi sobie bramę - ale jeśli to mała sieć to wątpię abyście mieli switch'a z taką funkcjonalnością.
Aby ograniczyć wpływ takich kombinacji na inne komputery w sieci, można zrobić VLAN'y na switchu, dzięki temu net padnie mniejszej grupie osób.
Można też zbierać i uaktualniać listę par MAC/IP a całą resztę dropować - dzięki temu na starcie część nieobeznanych odpadnie, ale jest to zabezpieczenie typu /etc/ethers - czyli na dłuższą metę nieskuteczne.

W tego typu sytuacjach najlepiej sprawdza się PPPoE (PPP over Ethernet) lub LAN (bez dostępu na zewnątrz) + VPN (dający dostęp na zewnątrz). Czyli wpinasz jakikolwiek komp do sieci i automatycznie dostajesz adres, ale żeby w pełni korzystać z neta musisz się autoryzować. To praktycznie zablokuje możliwość podszywania się (kombinacje ze zmianą MAC'a).

Pozdrawiam.

[quosek]

to zmien siec na np. 10.3.2.255 - jest duzo mniejsze prawdopodobienstow, ze ktos sobie ja akurat postawi na tym zakresie

[timor]

Nie wiem czy to coś da. Zwykle jak koleś w instrukcji znajdzie "brama domyślna" to przeklepie to co znajdzie w obecnej konfiguracji
Skutek - oczywisty

[Kurt Steiner]

Moved from Instalacja i sprzęt to Polish OTW.

[kacper]

Zrobiłem tak jak myślałem na początku i jak zalecaliście, czyli zmieniłem podsieć, teraz jest ok.

A jak radzicie sobie z 'lewymi' podłączeniami do sieci?

[Dagger]

zmiana TTL na 1 jest dosc skuteczna metoda. Wylozy to polowe amatorow i pseudo-fachowcow.

Najlepsza medota jest ograniczenie pasma dla uzytkownika - i niech sobie robi z nim co chce.

[SlashBeast]

Problemem jest chyba to, ze jak jakis baran zle router podlaczy, to zacznie swoje bzdurne adresy IP po dhcp rozdawac przez co moze wywalic kawal sieci osiedlowej.

[timor]

Można też korzystać z aplikacji typu pof albo natdet i jeżeli ktoś zbyt często pojawia się w wynikach tych aplikacji to można zasadnie przypuszczać że kombinuje z udostępnianiem. Ale dwie metody podane poprzednika są najlepsze.

[karaluch]

Proponuje uruchomic Captiv portal aby logowac wszystkich spragnionych internetu, jezeli ktos chce miec wicej kont musi sie o nie zapytac. W dodatku bedziesz mial wiedze czy ktos cos kombinuje...

[Belliash]

1) statyczne DHCP po MAC
2) filtrowanie MAC
3) bindowanie tablicy ARP
4) inna podsiec - 255.255.255.0 -> faktycznie macie ponad 250 kompow w sieci? nie? zmienic adresacje
5) WPA2
6) captive portal
7) QOS + limit predkosci dla poszczegolnych osob + calkowite limitowanie pozostalych ktore nie sa w tablicy ARP