Закрытие доступа по сети.

[nvv13]

Я думаю это не будет работать.

будет, пробуй

1. Для того, чтобы какие-либо маршруты были рабочими:
а) Должна быть запущена служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" на компьютере защищающегося.

нет

б) На компьютере "говнюка" должен быть прописан основным шлюзом как раз машина защищающегося.

нет

3. Всё это "костыли".

придумай дешевле

Это про то что у меня по IP получилось.
Как теперь с MAC адресами делать?

Я не пробовал, но у комманды arp, есть ещё возможность принудительно определённому mac назначить IP, чтот если назначить левый IP?
например, вот так:
ARP -s xxx.xxx.xxx.xxx 00-aa-00-62-c6-09
где xxx.xxx.xxx.xxx - левый
00-aa-00-62-c6-09 - MAC адрес который надо прикрыть

Да и еще.... Получается то что я раньше мост с 2-мя соединениями делал - можно через вышеописанное, где "несуществующий" адрес- будет адресом 2-й сетевухи?

ну тут ещё надо тогда IP Forwarding включить,маска другая, и т.д. вобщем, отдельная тема......

 

[▬▬☻▬▬]

Я не пробовал, но у комманды arp, есть ещё возможность принудительно определённому mac назначить IP, чтот если назначить левый IP?
например, вот так:
ARP -s xxx.xxx.xxx.xxx 00-aa-00-62-c6-09
где xxx.xxx.xxx.xxx - левый
00-aa-00-62-c6-09 - MAC адрес который надо прикрыть

Не получилось...

 

[LIvelacE]

nvv13

1. Упустил я как-то о такой "своевольной пересылке". Возможно потому, что использую как роутеры linux и bsd.

2. Почему костыли:

Г(Говнюк)
Д(Другие участники)
З(Защищающийся)

З находится в сети. Г зашел в сеть и зарегистрировал свой MAC в сети и он попал в arp кэш З (хотя может быть иначе). Мы отпарсили из arp кэша IP-адрес Г по его MAC-адресу и перенаправляем (хотя более правильно и проще добавить его в правила firewall) его IP-адрес с помощью route на левый IP (делаем это эпизодически по планировщику). Г понимает что его блокируют. Меняет IP на IP одного из Д. Происходят опять действия по блокировке. У нас два IP-адреса уходят на левый IP. Ни легитимные Д, ни Г уже эти IP-адреса использовать не могут для доступа к З. Что мы должны делать ? Правильно - сопоставлять IP-адреса с MAC адресами постоянно и изымать легитимные пары IP-MAC. То есть перерывы в доступе (при активном вредительстве Г) будут постоянны. Также надо учитывать скорость попадания MAC адресов в arp кэш З. И опять таки - Г чувствуя себя изгоем в родной сети (утрирую) рано или поздно прознает о методах смены MAC. Поэтому, доступ надо разграничивать по пользователям (об этом я написал сразу после создания темы).
Я не знаю в Windows ПО (firewall) которое работало бы на Layer-2. О портированных из *NIX пакетных фильтрах речи не идет.

 

[▬▬☻▬▬]

У меня должна быть немногодругая ситуация.
Приходит Г в сеть, заходит на мой комп (З), хренак! Не попадает, начинает шерстить или думает что у меня виста и думает - да и фиг с ним! Менее вероятно но вероятно - меняет адрес (переустанавливает винду или пр.) заходит на З и опять не попадает - забивает окончательно)))))))

 

[LIvelacE]

В таком случае развитие событий такое:

Г заходит в сеть -> заходит на З (arp кэш в этом случае АФАИК обновляется сразу)
и через <= 1 минуты (смотря в какое время отработает планировщик) для него всё закроется через firewall.

PS. Не забываем об обратных манипуляциях сопоставления.

 

[▬▬☻▬▬]

Честно говоря пофиг сколько он там будет ждать- минуту или больше) Мне надо тупо ссылку на файрвол, или название, и примерные (ну что бы понятно было) настройки. Я не сисадмин, терминов не знаю, кроме распространённых среди "продвинутых" пользователей

 

[nvv13]

Блин, думал создам тему, пообщаюсь со спецами, а получается какая то дохлая темка... лана, пофиг...
а вот этот?
Короче, неужели нет каких нибудь программ и т.д. для подобных задач???

есть, смотри, там же ссылки на скачку
http://www.anyram.net/anyram_ru/portfolio/net_soft/mac4ip/index.php

mac4ip - программа ограничения доступа для Linux и Windows, доступ разрешается только компьютерам с зарегистрированными MAC- и IP- адресами.

Иногда требуется ограничить сетевой доступ к серверу или компьютеру по связке MAC-IP-адрес, т.е. сделать так, чтобы пользователь занявший чужой IP или изменивший MAC-адрес не смог получить доступ к серверу или компьютеру. Наиболее эффективно такое ограничение делается с помощью статической ARP-таблицы, привязанной к заданному сетевому интерфейсу: доступ могут получить только те компьютеры для которых установлено соответствие MAC-IP. Подобная авторизация удобна как для компьютеров работающих под Linux, так и для компьютеров работающих под Windows. Также следует отметить, что статическая ARP-таблица весьма полезна с точки зрения уменьшения количества броадкастовых ARP-запросов в сети: сервер перестаёт их посылать, что немаловажно для крупных сетей.

Использование mac4ip позволяет
разрешить доступ компьютерам только с разрешёнными MAC-IP
исключить подбор MAC-адреса для доступа к серверу
разрешить свободный доступ без привязки к MAC-адресу по IP-адресу из списка
работать DHCP-серверу и широковещательным службам для компьютеров, которых нет в списке
оперативно разрешить доступ одному или всем компьютерам без авторизации

"Облегчённую" версию mac4ip для Linux (инсталляция .deb без "лишних" файлов внутри) можно скачать здесь, версию для Windows - здесь. В файле конфигурации даны комментарии по настройке программы.

При конфигурировании mac4ip, если Вы заходите на компьютер с удалённой консоли, не забудьте правильно указать данные компьютера, на котором Вы запускаете удалённую консоль, иначе поуправлять сервером сможете только подключив монитор и клавиатуру. Вначале рекомендуется пропускать адрес Вашего компьютера с удалённой консолью без авторизации (установить в записи MAC вида 'XX'), потом поэкспериментировать с другими компьютерами и лишь на заключительной стадии установить авторизацию удалённой консоли.