SKFREE
Software - Kontrola mac vs ip adresa
icerowicz - 22.01.2007 - 10:01
Post subject: Kontrola mac vs ip adresa
Bude fungovat nieco take ? pokial nie, pls opravte ma
#Zakaze vsetko
iptables -A INPUT -j DROP
#Jednotlivo povoli spojenia, pokial sedi mac a ip
iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
Bude to funkcne?
andreas4all - 22.01.2007 - 10:37
Post subject:
iptables -I FORWARD -s 192.168.1.1 -m mac --mac-source MM:AA:CC:MM:AA:CC -j ACCEPT
a potom dropovat, uplatni sa totizto prve pravidlo, ktore vyhovuje.
icerowicz - 22.01.2007 - 11:01
Post subject:
Vdaka, to s tym prvym vyhovujucim pravidlom mi nebolo jasne. A teraz hlavna otazka, aky je rozdiel medzi tymto checkovanim cez iptables a nastavenim pevnych arp zaznamov ? Myslim, vyhody / nevyhody.
kiwi - 22.01.2007 - 11:10
Post subject:
podla mna asi ziaden rozdiel tam nie je, ale z mojej skusenosti, ak mas za routrom vacsiu lanku, napr 600 usrov, tak ti masina s tymi iptables lahne, akokolvek silny stroj to bude, s arp to je na par promile vykonu
pixall - 22.01.2007 - 19:04
Post subject:
kiwi wrote: ›podla mna asi ziaden rozdiel tam nie je, ale z mojej skusenosti, ak mas za routrom vacsiu lanku, napr 600 usrov, tak ti masina s tymi iptables lahne, akokolvek silny stroj to bude, s arp to je na par promile vykonu
staticky arp je zverstvo a koledovanie si o problemy. to by som neriesil.
a tisic filtrovacich pravidiel v iptables nie je problem.
si - 22.01.2007 - 20:58
Post subject:
kiwi: nevidim dovod preco by mala masina lahnut ak by na nej bolo 600 takychto pravidiel... zrovna 600 PC priamo za jednou masinou nemam, ale nepriamo za hlavnym routerom ich je mozno aj o kusok viac, pre kazde PC je zvlast pravidlo pre in a zvlast pre out a v pohode to ten router stiha (a to tam robim este aj ine zveriny z tych iptables)
kiwi - 22.01.2007 - 21:32
Post subject:
ked sa cez masinu vali 60mbits in a 30 out, pri 7k/7k packetoch, verte mi ze checkovanie mac vs ip polozi aj 3.2ghz a 1gb ram
Robert - 22.01.2007 - 22:07
Post subject:
Otazka, ako je to v tom systeme implementovane. Snad to pouziva nejake tie hashovacie tabulky alebo aspon binarne stromy. Ak by sa to malo linearne prehladavat, pri 600 zaznamoch by to naozaj bolo o dusu.
pixall - 22.01.2007 - 22:29
Post subject:
si wrote: ›kiwi: nevidim dovod preco by mala masina lahnut ak by na nej bolo 600 takychto pravidiel... zrovna 600 PC priamo za jednou masinou nemam, ale nepriamo za hlavnym routerom ich je mozno aj o kusok viac, pre kazde PC je zvlast pravidlo pre in a zvlast pre out a v pohode to ten router stiha (a to tam robim este aj ine zveriny z tych iptables)
detto, mam na P3/733 asi tisic pravidiel v jednom aj druhmo smere (ale len na IP), okrem toho to robi ale aj layer7 filter - a pohoda klidek leharo.. mac/ip filter mam rieseny na routeroch pri klientoch, tam je to tak do 100 zaznamov na 200mhz strojoch (w4k) a load brutalnych 0.00...
airbilly - 22.01.2007 - 23:33
Post subject:
pixall wrote: › 100 zaznamov na 200mhz strojoch (w4k) a load brutalnych 0.00...
Na wifi sietach to nema zmysel, staci dat zariadenie do modu wisp, zakaznikovi tam nedat pristup a netreba riestit ziadny mac/ip filter. Jednoducho si tu ip nezmenia.
magnum - 22.01.2007 - 23:52
Post subject:
tiez ma to dost prekvapilo co kiwi pise - hlavne ze ho beriem ako odbornika a co napise to plati ale s tymto mam uplne ine skusenosti... static arp riesit na sieti s >600 uzivatelmi je ciste sialenstvo (aj ked ak to ma clovek zoscriptovane...)...
ale zas ak by som mal pri tolkom traffic-u sledovat este aj vsetky ip a arp tak by mi aj oci na cerveno svietili... na tak vytazenych routroch uz riesim maximalne QoS podla par portov a par VIP IP...
kiwi - 23.01.2007 - 06:59
Post subject:
samozrejme static arp cucia data z dhcp.conf
naozaj si budte isti, ze pri tolkom pocte packetov, ked to ma masina preosiat na tych iptables, tak ide do kolien
dokonca aj pri layer 7 filtrovani (ina masina) p2p packetov som zazil to, ze masina sa zakusla (moze ale byt ze v tomto pripade pravidlo nebolo postavene idealne)
pixall - 24.01.2007 - 03:13
Post subject:
airbilly wrote: ›
pixall wrote: › 100 zaznamov na 200mhz strojoch (w4k) a load brutalnych 0.00...
Na wifi sietach to nema zmysel, staci dat zariadenie do modu wisp, zakaznikovi tam nedat pristup a netreba riestit ziadny mac/ip filter. Jednoducho si tu ip nezmenia.
a co pripad ked si kliento odpoji zariadenie a nahodi svoje? pripadne co rovno votrelec?
icerowicz - 24.01.2007 - 08:32
Post subject:
pixall, presne tak. Nehovoriac o tom,ze 30% mojich klientov ma pci karty, ktore si bezne menia ( pretoze ja nebazirujem na aktivacnom poplatku a zariadeni od nas ). Jednoducho, vymeni kartu a je to v prdely.Bez tejto kontroly ip/mac si par zakaznikov svojvolne meni ip adresu, pretoze zistili, ze niektore ip maju vyssiu rychlost pripadne garant a potom sa mi stane, ze firma, ktora robi transfer 100mb denne, tantaha cez noc 10Gb.
Moja predstava je jednoducha. IP/MAC + DHCP Relay = spustanie pravidla vo firewalle na routing. Takze musi sediet ip/mac a este k tomu prebehnut aj DHCP relay. Pokial to vsetko sedi, tak je dovoleny prerouting na dalsi eth, pokial nesedi ip/mac v /etc/ethers , tak ani nenapinga gateway, pokial neprebehne DHCP Relay, tak ho nepusti von vystup z routera.
Nehovoriac o tom, ze v pripade ap ( napr ovis 5460, ktorych tam mam habadej ) je vyhoda este jedna. v /etc/ethers musi byt MAC AP, v /etc/dhcp3/dhcp.conf musi byt MAC adresa sietovej karty, aby tu IP dhcp pridelil. Myslim, ze pre votrelca bude dost zlozite napojit sa tam.
Vcera sa mi stlao, ze zakaznik mal pridelenu ip,na comp nahodil si svojvolne na APCKO switch, pripojil si notebook a dal si na neho ip o jednu vyssiu ako mal na compe. A konflikt v sieti bol na svete 
si - 24.01.2007 - 09:59
Post subject:
icerowicz: nemusis mat obavy, vzdy sa najde moznost ako ti tam vliezt druha vec je ci to stoji za tu namahu
airbilly - 24.01.2007 - 19:50
Post subject:
pixall wrote: ›
airbilly wrote: ›
pixall wrote: › 100 zaznamov na 200mhz strojoch (w4k) a load brutalnych 0.00...
Na wifi sietach to nema zmysel, staci dat zariadenie do modu wisp, zakaznikovi tam nedat pristup a netreba riestit ziadny mac/ip filter. Jednoducho si tu ip nezmenia.
a co pripad ked si kliento odpoji zariadenie a nahodi svoje? pripadne co rovno votrelec?
Nema pravo si zariadenie menit, ked zmeni musi naklonovat mac aby sa pripojil. Tymto vsak porusi podmienky. Na ap bezi mac control.
Myslim, ze votrelca daky mac + ip filter nezadrzi, lahko si odchyti spravnu kombinaciu.
airbilly - 24.01.2007 - 19:53
Post subject:
icerowicz wrote: ›
Vcera sa mi stlao, ze zakaznik mal pridelenu ip,na comp nahodil si svojvolne na APCKO switch, pripojil si notebook a dal si na neho ip o jednu vyssiu ako mal na compe. A konflikt v sieti bol na svete
Prave pre tieto pripady mam spustene na kazdej lan a ap dhcp server, a nasledne shaping, ktory neregistrovanym ip pusti len maly traffic cca 130kbit a najnizsiu prioritu.
icerowicz - 27.01.2007 - 19:00
Post subject:
nahadzujem ipsec. the end
michalci - 11.10.2007 - 13:42
Post subject:
zdravim mam na Linuxovej brane spraveny IP filter takto:
Code: › iptables -A FORWARD -s 192.168.1.3 -i eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.3 -j ACCEPT
problem je ten ze mi jeden uzivatel zacal pouzivat IP adresu ineho cize chcel by som doplnit IP filter o MAC adresu je mi jasne ze aj to sa da obist ale aspon ho na chvilu zdrzim, plus by som chcel doplnit IPtables aby posielali LOG do /usr/temp/
michalci - 11.10.2007 - 17:08
Post subject:
vyriesene
Code: › iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.1.3 -j ACCEPT
iptables -A FORWARD -m mac --mac-source YY:YY:YY:YY:YY:YY -s 192.168.1.4 -j ACCEPT
+ vycitanie spravnych MAC z ARP tabulky
Express - 11.10.2007 - 22:16
Post subject:
Robert wrote: ›Otazka, ako je to v tom systeme implementovane. Snad to pouziva nejake tie hashovacie tabulky alebo aspon binarne stromy. Ak by sa to malo linearne prehladavat, pri 600 zaznamoch by to naozaj bolo o dusu.
[spam]
hashovacie tabulky to nebudu ked som si precital ako to zatazi procesor, lebo pri hashovani je vykonnost lepsia ako najdomyselnejsia stromova struktura, mozno to bude ADT pole ale ani to by nemalo tak zatazit kompik
[/spam] 
matos1 - 16.01.2008 - 13:58
Post subject:
Code: › add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Code: › add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
vedel by mi neikto povedat ako to mam nastavit? mam taku topologiu 
problem je vtom ze ak spravim taketo pravidlo nalavo hore, tak to nefunguje pre subnet 192.168.0.x jedine ak by som to spravil na MK napravo hore
andreas4all - 16.01.2008 - 14:28
Post subject:
musis do toho pravidla pridat input-intervace, pretoza sa to inak uplatnuje na vsetky interface.
Thomas - 16.01.2008 - 14:32
Post subject:
sprav to cez manglovanie , poznačuj si pakety ktore splnajumac+ip trebar značkou OK taktiež si takto označ pakety z jednotlivých subnetov teda tiež ako ok a potom si sprav pravidlo kde sa bude dropovať všetko čo nemá označenie ok
matos1 - 16.01.2008 - 15:11
Post subject:
for andreas4all, takto to nefunguje - packets a bytes stale 0
for Thomas, mozes mi to viacej rozpisat?
Thomas - 16.01.2008 - 15:49
Post subject:
Označ tagom OK pakety ktore splnaju podmienku IP+MAC a vstupuju na interface TEST
Code: › add action=mark-packet chain=input comment="" \
in-interface=TEST new-packet-mark=OK passthrough=yes \
src-address=172.17.222.1 src-mac-address=AA:AA:AA:AA:AA:0A
Potom dropni to čo tam nema čo robiť teda to čo nema tag OK a vstupuje na interface TEST
Code: ›
add action=drop chain=input comment="" disabled=no in-interface=TEST packet-mark=!OK
Samozrejme ipky a nazvy rozhrani si pomen tak ako potrebuješ
andreas4all - 16.01.2008 - 15:59
Post subject:
to matos1 > zaujmave... preco si potom ludia u nas nemozu menit IP neviem, ze im to potom nefunguje....
Code: ›
chain=forward action=accept in-interface=wlan_AP1 src-address=192.168.1.25 src-mac-address=MM:AA:CC:MM:AA:CC
a na koniec drop, alebo pred to este logovanie, pripadne pridanie do src-listu
Code: ›
;;; ADD_SRC-LIST_BAD_IPvsMAC
chain=forward action=add-src-to-address-list in-interface=wlan_AP1 address-list=BAD_IPvsMAC
address-list-timeout=1w3d
chain=forward action=log in-interface=wlan_AP1 log-prefix="BAD_IPvsMAC"
chain=forward action=drop in-interface=wlan_AP1
lol - 16.01.2008 - 18:47
Post subject:
Preco to riesite tak zlozito? Krajsie riesenie je staticka ARP tabulka a nezatazuje to zbytocne CPU tolkymi FW pravidlami
andreas4all - 16.01.2008 - 22:08
Post subject:
v poslednej dobe to riesim ako lol.
Thomas - 16.01.2008 - 22:29
Post subject:
no mne tak ani nejde o tenprocesor , pokial sa da tak staviame body na pc takže tam je dostatok priestoru na taketo veci a na hlavnej GW sa robi akurat tak nat shaping a beži tam fUP skript
matos1 - 17.01.2008 - 11:56
Post subject:
lol wrote: ›Preco to riesite tak zlozito? Krajsie riesenie je staticka ARP tabulka a nezatazuje to zbytocne CPU tolkymi FW pravidlami
prosimta mozes mi to rozpisat podrobnejsie? takze ked si vytvorim ARP tabulku tam mi to posluzi aj pre DHCP server?
eXplorer - 17.01.2008 - 23:40
Post subject:
Staticky ARP ani iptables riesenie nepomoze ked si uzivatel zmeni IP aj MAC. To znamena ze nejde o totalneho lamera, ktory vie zmenit IP ale uz nevie spravit 2 kliky naviac aby zmenil aj MAC. 
navyse takuto zmenu nie je ani realne mozne zistit (ked si uzivatel da pozor).
Jedine ucinne riesenie je pouzit 802.1X na switchoch, pokial uzivatel nezada spravne meno a heslo a nema spravnu MAC tak ho switch nepripoji na fyzickej vrstve - je to totozne s vytiahnutim kablu 
Toto uz je ovela tazsi oriesok na prekonanie.
andreas4all - 17.01.2008 - 23:49
Post subject:
ale zober si situaciu, kde je klient pripojeny napr cez RTL8186 (5460 a i), ktore prepisuju MAC a user nema pristup k jeho administracii... takze on si na lokalke moze menit IP aj MAC kolko len chce, ked router ho stale vidi pod rovankou MAC ale inou IP, takze ho dropne.
eXplorer - 18.01.2008 - 00:23
Post subject:
ano, mas pravdu myslel som skor na switche.
Pokial user nema pristup na AP u seba a toto AP prepisuje MAC tak si MAC vlastne (voci sieti) nemoze zmenit aj ked ju zmeni AP mu ju prepise na tu istu.
icerowicz - 18.01.2008 - 09:28
Post subject:
Mno, dobre riesenia, vsetko oka, podporucam doinstalovat arpwatch , krasne si ho nastavit , zapisat si vlastnu databazu meno zakaznika, hostname, ip, mac . Pokial nastane neaka zmena, tak to krasne zapise do /var/log/daemon.log , existuje k tomu aj arpwatch2html, resp jeho cgi verzia, do ktorej je mozne zapisovat ip , mac, meno uzivatela, hostname z web interface a ihned mate jasno,kto co poraba na sieti, nehovoriac o tom ,ze s pouzitim maleho skriptiku ( u mna 6 riadkov ) si uzivatela, ktoreho arpwatch oznaci presmerujes cez iptables na neaky port s hlaskou, ze si zmenil ip, alebo mac a nech ta kontaktuje.
Zacinam sa zase venovat vyvoju doteraz kua som fakt nic nestihal
eXplorer - 18.01.2008 - 09:58
Post subject:
icerowicz: a ako riesis pristupy na klasickom nemanazovatelnom switchi (90% ludi vo vacsich sietach je pripojenych takto), ked si userko na "dratovom" pristupe zmeni IP a zaroven aj MAC na inu (spravnu) kombinaciu ? v tom pripade ARPWATCH nema sancu nic zistit. Odhali iba lamerov ktori ako som pisal vyssie nevedia spravit o 2 kliky mysou viac
Ak mas na toto recept tak porad, usetris tym prachy za vymenu switchov za manazovatelne a navyse s podporou 802.1X, co tie lacnejsie nemaju.
icerowicz - 18.01.2008 - 13:48
Post subject:
eXplorer wrote: ›icerowicz: a ako riesis pristupy na klasickom nemanazovatelnom switchi (90% ludi vo vacsich sietach je pripojenych takto), ked si userko na "dratovom" pristupe zmeni IP a zaroven aj MAC na inu (spravnu) kombinaciu ? v tom pripade ARPWATCH nema sancu nic zistit. Odhali iba lamerov ktori ako som pisal vyssie nevedia spravit o 2 kliky mysou viac
Ak mas na toto recept tak porad, usetris tym prachy za vymenu switchov za manazovatelne a navyse s podporou 802.1X, co tie lacnejsie nemaju.
Jednoducho. Kedze sme zacali robit bytovky az pred nedavnom, musel som riesit tuto otazku tak isto. Kedze manazovatelne switche su drahe ako hovado, zriesili sme to tak, ze zakaznici od nas dostavaju jednoduchy 4lan+1wan port router, na ktorom ma spustene vlastne dhcp. Router je zaheslovany a konfigurovany pevnymi ip adresami. Ten je dalej napojeny do nemanazovatelneho switcha na poschodi ( 100mbit ) , ktory je pripojeny na hlavny nemanazovatelny switch ( gigabit ) a nasledne prepojeny s GW s gigabit sietovkou.
eXplorer - 18.01.2008 - 15:15
Post subject:
icerowicz: a ked ten userko router "jednoducho" odpoji a pripoji tam svoj PC ? Ked uz dokaze zmenit MAC tak toto zvladne tiez, v takomto postupe mu nic nebrani, pokial budes security riesit na strane uzivatela tak toho vela nevyriesis. Pri WIFI je to ine pokial mas nejaku enkrypciu, MAC filter a hidden SSID.
Uzivatelov ktori si IP/MAC menit nechcu alebo nevedia, riesit nepotrebujes a tych ostatnych takto nevyriesis - mozes mat akurat falosny pocit ze je to vyriesene ale nie je ... zbytocne vyhodene prachy na routre. Nechcem sa hadat, ale je to tak.
andreas4all - 18.01.2008 - 15:43
Post subject:
a co takto na tom user-routry hodit napr PPPoE a userkovi to nepovedat, ked si pichne kabel do PC, tak mu to nepojde, lebo nebude vediet ze ma spravit nejaky PPPoE. to ma teraz iba tak napadlo.
lol - 18.01.2008 - 15:50
Post subject:
To mozes hned dat do kazdej bytovky jeden router na ktorom pojde PPPoE server. Alebo kazdu bytovku si natiahnut VLANom po bridzovanej chrbtici a spravit nejaky uzol, kde sa ti VLANy stretnu v jednom routri na ktorom pobezi PPPoE server....
Takto sa ti nejaky lamer dostane len do LANky v jeho bytovke, do bytovky vedla sa uz bez PPPoE autentifikacie nedostane ....
