IP´s im Lan -- Änderung verhindern

gear

Member
Hi Leute,

suche ne Möglichkeit die vergebenen IP´s in einem Lan an die MAC-Adresse der jeweiligen Karte zu binden. Wenn also ein User, denkt er müsse seine IP ändern dann soll das BSD System das nicht zulassen. Geht das?
 

d4mi4n

volksoperator on duty
aber das kann man doch an den kisten selber verbieten, sollte halt nicht jeder root rechte haben
 

I.MC

Watt soll denn hier hin?
Genau, das wäre sicher eine gute Lösung. Evtl. gibt es auch switches die das pro port so einstellen können, also die mac nur die Adresse???
Evtl. weiss ja jemand hier was dazu.

Gruß, incmc
 

d4mi4n

volksoperator on duty
ich versteh den satz nicht so ganz da oben vieleicht bin ich zu müde oder so, sorry, ab "also" hängts bei mir
 

I.MC

Watt soll denn hier hin?
= wenn an dem Port Mac1 hängt, dann darf diese nur mit der im switch zugelassenen IP ankommen, sonst wird der Klient einfach geblockt.

:-)
 

gear

Member
heheh genau so hab ich das gemeint......
ich trag "Gott weiß wo" die IP eines Clients, nennen wir ihn hier mal "Workstation1", 192.168.100.3 ein und dazu die MAC Adresse. Ferdisch. Wenn jetzt der liebe User an Workstation1 meint er müssen sie auf seiner Windoof-Kiste ändern, dann sagt meine BSD-Kiste..."Ändere so viel du willst....aber zu deiner MAC-Adresse passt diese IP leider nicht...Bäääähhhh

:-)) So und nun müsste ich nur noch wissen wie das geht..


Jemand ne Ahnung???
 

Elessar

Huldigt dem _/\_
arp -S 192.168.100.3 00:DE:AD:BE:AF:00
ifconfig fxp0 -arp

Wenn das so tut wie ich das momentan denke/hoffe, schaltet der -arp Switch nur die ARP Requests ab, die bereits existierende ARP Tabelle wird aber weiterhin verwendet und nicht mehr aktualisiert.
Sprich wenn John DAU [warum hat der eigentlich ausreichend Rechte um IP Adressen zu aendern? Lokale Sicherheitsrichtlinien verdammich!!] seine IP aendert gibts dazu kein ARP Eintrag und er bekommt nix.

Is aber wenns geht nur n dreckiger Workaround. Nimm denen die Rechte weg!
Weiterhin kann man mit dem ARP Protokoll viel Unsinn anstellen, also lass es wenn dir ned sicher bist. Oder check die RFCs aus.


@incmc: Es gibt Switche die den Port blocken sobald sich die MAC Adresse ohne ein/ausstecken des Kabels aendert. Nennt sich zB bei 3com 'Port Security'. Inwieweit man aber Ports auf MAC/IP Paare programmieren kann bzw bei welchen Switchen ist mir nict bekannt.
 
Zuletzt bearbeitet:

Elessar

Huldigt dem _/\_
w00t!
grad mal erfolgreich getestet.

vorher:
zion.starkstrom.lan (192.168.1.1) at 00:04:75:8c:8e:51 on fxp1 [ethernet]
fxp1: flags=9843<UP,BROADCAST,RUNNING,SIMPLEX,LINK0,MULTICAST> mtu 1500

nachher:
zion.starkstrom.lan (192.168.1.1) at 00:04:75:8c:8e:51 on fxp1 permanent [ethernet]
fxp1: flags=98c3<UP,BROADCAST,RUNNING,NOARP,SIMPLEX,LINK0,MULTICAST> mtu 1500

Verbindungen zu den permanenten Hosts nach wie vor moeglich, alles andere verursacht:
mersenne.starkstrom.lan (192.168.1.43) at (incomplete) on fxp1 [ethernet]

Kann aber, man kanns nicht oft genug sagen, ne anstaendige Sicherheits Policy nicht ersetzen, hoechstens ergaenzen weil wie standardkonformes Ethernet geschrieben wird weiss das nicht mehr.
 
Zuletzt bearbeitet:

gear

Member
Erst mal Danke für die Hilfe Elessar,

ich werd es mal versuchen....wenn es ausreicht, bin ich zufrieden...falls
nicht müssen die Policies dran glauben ;-))


Ciao
 

I.MC

Watt soll denn hier hin?
Das is ja interessant. Ich verstehe das jetzt so,

1) dass ich dann keinen dhcp Server brauche um die IP zuzuweisen
2) dass alle nicht auf diesen Weg festgesetzten MACs weiterhin beliebig IPs einstellen können / sich eine per dhcp holen können

Gruß, incmc
 

Elessar

Huldigt dem _/\_
@incmc: Ich glaub ich versteh nicht was du da verstanden hast.

Effektiv hebelt das da oben Ethernet aus.
So wie das Domain Name System zwischen Domain und IP aufloest, loest die ARP Tabelle zwischen Software [IP Adresse] und Hardware [MAC Adresse] auf. Dafuer gibts das Adress Resolution Protokoll [ARP] das die MAC Adresse von unbekannten IP Adressen erfragt damit die Netzwerkkarte das Paket verschicken kann.
Das ganze passiert unbemerkt im Hintergrund und damit die Tabelle nicht ueberlaeuft werden Wertepaare nach XYZ Minuten nichtgebrauchens geloescht.

Und das schaltet das da oben schlichtweg komplett ab.
Die Wertepaare werden von Hand ohne TimeOut eingetragen. Der Rechner kann an keinen Rechner den er nicht kennt Pakete verschicken und (oh, Rueckrichtung hab ich nicht getestet) sollte beim Empfang von Paketen auch keine Eintraege anlegen koennen.
Aendert der Client entweder IP oder MAC kommt das Paket nicht bei ihm an oder wird wegen falscher IP verworfen.
=> der rechner kommuniziert nur mit den von Hand eingetragenen Rechnern

Ob der Client seine Adresse per DHCP hat oder manuell konfiguriert ist schnurz. Irgendwie muss halt ne IP an den Client, und sei es per Voodoo.
Jeder Rechner kann sich seine IP holen wie wo und wann er will. Nur alle nicht haendisch in der freeBSD Kiste eingetragenen Rechner koennen mit der BSD Box nicht kommunizieren. Es wird ja am Client nichts gemacht, es werden nur am BSD 2 Bedingungen MAC und IP festgelegt damit dieser ueberhaupt auch nur im Ansatz mit den Clients kommunizieren kann.

Evtl auch Ethernet Standard und ARP RFC lesen, das da oben ist zwar nichtmal im Ansatz darin vorgesehen aber moeglich.

Inwieweit die permanenten Eintraege uebriens n Reboot ueberleben weiss ich nicht.

@gear: geh Windows spielen. Standards brechen statt Zugriffsrechte sauber setzen - justier mal dein Weltbild neu. Ich koennt kotzen das ich dir das gesagt hab.
 

I.MC

Watt soll denn hier hin?
@Elessar

Das war mir schon klar :-)

Da in der man page von arp aber steht, dass die Option "-S" einen permanenten Eintrag setzt, dachte ich, dass diese auch wirklich nie wieder geändert wird, es sei den von Hand von mir. Daher sollte man auch die Option "-arp" bei ifconfig weglassen können. Denn solange der Klient dieselbe Mac Adresse hat is er an den permanenten Eintrag gebunden. Ändert er also seine IP, dürfte das nichts werden :-) (sonst wäre der Eintrag ja nicht permanent)

Der Vorteil dabei die "-arp" Option weglzulassen ist, dass dann alle anderen MAC Adressen im Netz frei mit IPs belegbar sind, also z.B. sich dynamisch per dhcp.
Das sollte doch auch gehen oder? Nur ne Idee...

@gear

Auch wenn Elessar nicht so ausfallend hätte sein müssen, angenommen das klappt jetzt so. Aber Leuten Admin Rechte zu geben kann noch zu ganz anderen Problemen füren als IPs ändern.
Da ist das dann dein kleinstes Problem :-)
Ich weiss ja nicht wo du das einsetzen willst. Aber wenn das irgendwo ist wo es dich deinen Job kosten kann, dann würd ich mich spurten. Nichts für ungut ;-)

Gruß, incmc
 

gear

Member
Jetzt noch ne Frage...wie kann bei nem 192.168.100.0/24 Netz nur z.b. 10 Ip´s freigeben, der rest darf und kann nicht genommen werden. Dyn Ip muss aber geg. sein! DHCP geht leider hier net.


@incmc Ne das ist bei uns zuhause....:-))


Thanks
 
Zuletzt bearbeitet:

moxxito

Daemonizer
hallo gear,

wenn ich Dich richtig verstehe hängen da mehrere konspirative windows Nutzer an einem switch und wollen auf eine <enter preferred server system here> zugreifen. Damit die sich "ärgern" möchtest Du die ip/mac am switch filtern.

Lösen kannst Du das an mehreren Stellen.

1. Im Windows pofile erstellen und den Zugriff auf das Netzwerk.Setup unterbinden.

2. Einen Cisco Switch nehmen und port security nebst acl's verwenden (viel Arbeit)

3. auf dem Server eine Firewall installieren, die auf mac/ip Ebene filtert.


Trifft das so in etwa Dein Problem ?

Gruß

der Tom
 
Oben