ARP i kontrola dostępu
Przy większych sieciach takich jak np.:. akademik, administrator zazwyczaj ma więcej pracy, bo musi dodatkowo chronić się przed nielegalnym i dzikim podłączaniem się użytkowników. Oczywiście nie ma 100 % sposobów, aby ustrzec się od tego procederu (chyba, że fizycznie odłączymy delikwenta od sieci), ale to nie zawsze jest możliwe
Jednym ze sposobów jest powiązanie numerów MAC karty sieciowej z adresami IP i zablokowanie pozostałych adresów w tym celu musimy spreparować kilka plików
Zacznijmy od pierwszego
# plik /sbin/ip_arp
#
plik_arp=/etc/hosts.arp
[ -f $plik_arp ] || exit 0
# See how we were called.
case "$1" in
start)
# Start daemons.
echo "Adding arps records: "
grep "^" $plik_arp |grep -v "^#"| while read ip hw_addr; do
if [ "$hw_addr" = "" ]; then
echo -n ""
else
/sbin/arp -s $ip $hw_addr
# echo $ip $hw_addr
fi
done
echo
;;
stop)
# Stop daemons.
echo -n "Removing static arp records: "
grep "^" $plik_arp | grep -v "^#"| while read ip hw_addr; do
if [ "$hw_addr" = "" ]; then
echo -n ""
else
/sbin/arp -d $ip >/dev/nul
# echo -n "."
fi
done
echo
;;
restart)
$0 stop
$0 start
;;
status)
/sbin/arp -n
;;
*)
echo "Usage: static-arp {start|stop|restart|status}"
exit 1
esac
exit 0
|
Plik ten sprawdza adresy IP z numerami kart sieciowych
Teraz wypadało by naskrobać plik, który uruchamiałby demona przy starcie systemu oto on
#
# /sbin/rc.d/rc.init/rc.arp
#
if [ -x /sbin/ip_arp ]; then
echo "Starting IP MAC... "
/sbin/ip_arp start
fi
|
A teraz sedno sprawy, czyli jak wygląda plik konfiguracyjny
/etc/hoss.arp
#192.168.15.6 00:30:4F:08:A0:2D
#192.168.15.7 00:80:DA:91:44:03
#192.168.15.8 00:00:E8:55:A9:37
|
Teraz wystarczy poblokować "wolne" ip w host.deny i wszystko powinno działać jak należy. Oczywiście jest metoda na ominięcie tego zabezpieczenia bo można samemu zmienić sobie numer karty sieciowej, ale można się tym pocieszyć że nie każdy użytkownik umie to zrobić.
BiExi
|
