Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: iptables и клиенты с динамическим IP  (Прочитано 1251 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Fresh Spam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Не всем пользователям локалки разрешен доступ в нэт. К тому же используется DHCP.

Как мне разрешить доступ машине ALLOWEDCOMP? (Нужно, что IP был динамический).

Сейчас использую МАС-адрес, но из-за специфики работы (некоторые пользователи могут отключаться от ЛВС не более чем на 2 мин <- используется несколько сетевух), такой вариант является временным.

Оффлайн dbsh

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #1 : 15 Май 2008, 20:34:57 »
хм, хороший вопрос. решится ли он с вводом учетных записей на каждую машину в сети? и собственно, лимитировать уже по учетке

Оффлайн Fresh Spam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #2 : 16 Май 2008, 11:25:31 »
хм, хороший вопрос. решится ли он с вводом учетных записей на каждую машину в сети?
Такой вариант возможен в том случае, если будет происходить автологон этих пользователей на шлюзе. Не подскажите, возможно ли? (Процесс предстоит трудоёмкий - щас везде один и тот же пользователь - поэтому хотелось бы знать заранее)

Оффлайн orp

  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #3 : 16 Май 2008, 11:53:10 »
надо именно через iptables? Резервирование адресов в дхцп не подходит?

Оффлайн Fresh Spam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #4 : 19 Май 2008, 16:21:59 »
Резервирование адресов в дхцп не подходит?

решится ли он с вводом учетных записей на каждую машину в сети?

В принципе большой разницы (по трудоёмкости) между этими способами нет.

Дело в том, что есть некая группа пользователей, у которых всё должно быть одинаково (все они хорошенько ламерят) и когда они поменяются тачками (или сядут за резервные), то не должны чувствовать разницы. Вариант со сменой пользователя для них слишком сложен.

Процесс осложняется тем, что "некоторые пользователи могут отключаться от ЛВС не более чем на 2 мин", т.е. может произойти так, что я не доберусь до определённых машин несколько лет.

Я некорректно поставил вопрос. Мне нужно разрешить доступ машине ALLOWEDCOMP, поменяв настройки ТОЛЬКО на шлюзе.

Оффлайн orp

  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #5 : 19 Май 2008, 17:25:32 »
а как планируется узнавать в случае с дхцп за какую конкретную машину пересел польователь?

Мне кажется все таки выход в применении системы логин\пароль и сквида.
Тогда для пользователя будет прозрачно - на какую бы машину он не сел - ввел логин пароль и вперед.

Оффлайн Fresh Spam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #6 : 20 Май 2008, 08:19:41 »
а как планируется узнавать в случае с дхцп за какую конкретную машину пересел польователь?

У него их всего две: основная и резервная (по две сетевухи на каждой) т. е. суммируем все 4 МАС-адреса и всё. В исключительных же случаях, когда пользователь пересел тачку другого человека (из его отдела), траффик значения (принципиального) не имеет -- пусть хоть укачается лишь бы выполнял свои обязанности.

Задача в том, чтоб другие работники в нэт не попадали (по соображениям безопасности не имеют права). С МАС-ами всё пока путём, но именно "пока". Я по сети могу узнать МАС-адрес только тех сетевух, которые щас задействованы (естественно). Рыться на этих компах непосредственно я не могу.
Т. е. когда кто-либо переключится на другую сетевуху (или включит резервный комп) мне нужно тут же узнать МАС-адрес сетевухи и разрешить её на шлюзе. Это не самая большая проблема (в нэт вряд ли кто сразу полезет -- минут 20 у меня есть). Проблема в том, что я работаю 8 часов в сутки, а этот отдел -- 24! 2 из 3-х (+ Сб и Вс), что мне бросать все дела и ехать на работу (особенно приятно если ночью :D).

Тачки все одинаковые и закупались партией, так что и сыпаться начнут вместе :'(


Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #7 : 20 Май 2008, 08:52:20 »
Я по сети могу узнать МАС-адрес только тех сетевух, которые щас задействованы (естественно). Рыться на этих компах непосредственно я не могу.
Т. е. когда кто-либо переключится на другую сетевуху (или включит резервный комп) мне нужно тут же узнать МАС-адрес сетевухи и разрешить её на шлюзе.

Можно посмотреть в сторону arpwatch. Штука, которая сама следит за появлением новых IP/MAC в сети по arp-запросам. Пишет все события в лог и на определенный e-mail. Я в своей сети еще прикрутил к ней mysql - пишет еще и в базу.

Можно, обнаружив в сети новый MAC, сразу же открывать его на шлюзе. Другой вопрос, что при этом никакой идентификации... Любой новый комп будет сразу выпущен в инет...
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн Fresh Spam

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables и клиенты с динамическим IP
« Ответ #8 : 20 Май 2008, 10:15:35 »
[
Можно, обнаружив в сети новый MAC, сразу же открывать его на шлюзе. Другой вопрос, что при этом никакой идентификации... Любой новый комп будет сразу выпущен в инет...

[quote

Задача в том, чтоб другие работники в нэт не попадали (по соображениям безопасности не имеют права).


[/quote]
Я думаю, что в таком случае случится примерно так
 :knuppel2:  :crazy2: :knuppel2:

 

Страница сгенерирована за 0.057 секунд. Запросов: 22.