arp (Re: Bezpecnost za firewallem)
Igor Kilian
igor.kilian na infogas.sk
Čtvrtek Březen 16 13:47:29 CET 2000
> *** Tento thread me zaujal. Take bych potreboval nejak jednoduse a bez DHCP
> zamezit libovolnym zmenam IP windosovym uzivatelum. Vytvoril jsem si tedy
> arp tabulku na spustil prikaz arp -f <tabulka>. U jednotlivych IP se pak ve
> vypisu objevil flag PERM. Coz asi znamena to pevne prirazeni.
>
> Pokud si ale potom zmenim IP na uplne jinou, ktera v arp tabulce vubec neni,
> server me zase pusti. Protoze takovou IP nezna a klidne k ni priradi moji
> MAC adresu.
>
> Asi delam neco spatne a nebo jsem nepochopil problematiku (to spise). Zatim
> mam dojem, ze jsem zamezil tomu, ze si jiny uzivatel nezvoli moje IP. Jde
> omezit, aby si nemohl zvolit ani zadne jine IP mimo urcity rozsah? Lze zadat
> tento rozsah?
Je to spravne chovanie. Ja previazanost IP s HW adresou som pouzival hlavne
pre NFS klientov. Povolil som par masinam pripojenie pomocou NFS a aby som si
bol isty ze pod tou istou IP sa niekedy niekto nepokusi citat z NFS tak som dal
permanentne nahravky do arp tabulky. Tymto sa nezabrani aby si iny uzivatel
zvolil ty danu IP adresu, ale zabrani sa jeho spojeniu na vas pocitac. Spojit
sa moze jedine vtedy ak IP aj HW adresa suhlasi.
Ak niekto chce zakazat pristup napr. na telnet vsetkym okrem par pocitacov je
na to vhodnejsi TCP Wrapper (nastavenie pomocou konfiguracnych suborov
/etc/hosts.allow /etc/hosts.deny). Bohuzial ten zakazuje len tie casti co
chodia cez inetd (teda ce wrapera), ale aj to moze postacovat. Inak co sa tyka
bezpecnosti a jej moznostiach je na zaciatok vhodny dokument
/usr/doc/HOWTO/Security-HOWTO.
Igor
=========================================
Ing. Igor KILIAN
InfoGas a.s., Kozia 17
815 37 Bratislava, Slovakia
tel.: +421 7 58692159
mailto:igor.kilian na infogas.sk
Další informace o konferenci Linux