Различия

Показаны различия между двумя версиями страницы.


kontrol_dostupa_k_serveru_po_mac‐adresam [2021/07/31 21:58] (текущий) – создано - внешнее изменение 127.0.0.1
Строка 1: Строка 1:
 +====== Контроль доступа к серверу по MAC‐ адресам ======
  
 +{{htmlmetatags>
 +metatag-description=(Ограничить доступ к серверу конкретным списком MAC-адресов.
 +}}
 +
 +{{ ::ogranichit_dostup_k_mashine_konkretnym_spiskom_mac-adresov.jpg?nolink&600 |}}
 +**Ни один из известных способов не спасает от одновременной смены IP - адреса и [[MAC]] - адреса.**
 +
 +Создадим файл ipmac соответствия IP и MAC. Для этого запустим скрипт ipmac.sh, который использует утилиту [[arp]]:
 +<code>
 +> ee ipmac.sh
 +#!/bin/sh
 +
 +arp -an | awk -v OFS="\t" '{print(substr($2, 2, length($2)-2), $4)}' > /scripts/arp/ipmac
 +</code>
 +Очистим arp-таблицу и заполним ее из нашего файла ipmac
 +<code>
 +> arp -d -a
 +> arp -f /scripts/arp/ipmac
 +</code>
 +Чтобы другие компьютеры вообще не замечали наш сервер, для этого в rc.conf пропишем для локальной cети:
 +<code>
 +ifconfig_rl0="inet 192.168.x.x netmask 255.255.255.0 staticarp"
 +</code> где rl0 – внутренний интерфейс. То есть сервер не будет делать arp-запросы на этом интерфейсе, и те компьютеры, которые не окажутся в файле, видеть его не смогут.
 +
 +Для  адресов,  которые  не  задействованы  в  подсети,  можно  создать статические   записи  с  фиктивными  физическими  адресами  (например, 00:11:22:33:44:55).  Это  исключит  возможность использования кем-либо данных IP-адресов или для интерефейса прописать staticarp, как показано выше.
 +
 +Итак,  мы  получили  статическую  таблицу  соответствия  между  IP-  и MAC-адресами.  Теперь выход в Интернет через FreeBSD-сервер с "чужого" IP-адреса  станет  невозможным,  если,  конечно, заодно не подменить и MAC-адрес   (с   последним   явлением   можно   бороться   разве   что организационными методами).
 +
 +Но любая палка, как известно, о двух концах. За повышение защищенности сети  придется  платить дополнительными заботами по администрированию, поскольку  теперь  добавление  новой  машины  в  сеть, замена сетевого адаптера,    смена   IP-адреса   должны   сопровождаться   правкой   и перезагрузкой  ARP-таблицы.  Хотя  это  все равно лучше, чем бегать по этажам, "вычисляя" недобросовестного пользователя.
 +
 +
 +====== Ссылки ======
 +  * [[http://www.opennet.ru/base/net/arp_fix_bsd.txt.html|Заморозка ARP таблицы во FreeBSD]]
 +  * [[http://www.opennet.ru/base/sec/arp_fixation.txt.html|Как бороться со сменой IP адресов клиентами локальной сети]]

📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.

📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.

💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!