IPtables a filtrovani podle MAC adres

[Jakub Jirků]

On Wed, May 26, 2004 at 08:36:40AM +0000, benghi wrote:
> Dobrá myšlenka, ale osobně si myslím, že prvky sítě stačí nastavit
> staticky, tím lze determinovat z kterého počítače příslušná data pochází
> a identifikace uživatele je stejně aplikační záležitost. Jde o to, že to
> zvýší ceny všech prvků sítě. Princip se serverem na přihlašování

Ale potom nebudu moci pouzivat prenosna zarizeni s tim ze si notebok 
pichnu kdekoli do zdi a muzu pracovat.

Aplikace by se dala propojit s kerberosem a potom by identifikovala 
uzivatele ve zbytku sluzeb, takze by stacilo jedine prihlaseni a to
skutecne *do site*.

> uživatelů se mi nelíbí už proto, že jeho porucha odrovná celou síť, což
> může být velký problém.

Takovy server by musel byt jakozto single point of failure zazalohovan.

> V principu na toto stačí, aby každý switch byl _ručně_ nastavitelný a
> nevyráběl si svoje tabulky sám, ve všech routerech stačí zakázat ARP a
> ARP tabulku vyrobit ručně a věc je hotová. Má to bohužel háček. Pokud by
> síť měla obsahovat i nějaké switche, je nutné zakázat na _všech_ prvcích
> sítě ARP, včetně klientských počítačů a ručně zavést ARP záznam

To se ale moc dobre nespravuje.

Ale i to co jsem psal puvodne potrebuje dostatecne inteligentni prvky, 
ktere si umi napriklad statickou arp tabulku stahnout na prikaz z nejakeho
serveru.

Jeste by se ,,untrusted`` pocitac dal dat to vlanu a pokud se nejak prokaze
tak ho prehodit k ostatnim.

> nejbližšího routeru a udělat z něj defaultní gateway s tím, že přes něj
> půjde úplně všechno, což imho není dobrý nápad z hlediska výkonu sítě. 
> 
> Myslím, že je to celé paranoidně přehnané. IMHO stačí síť rozdělit do

To je pravda :) Byl to teoreticky navrh, prehnane paranoidni umyslne :)

> nějakých oblastí, které si budou navzájem důvěřovat a následně na úrovni
> routeru řešit, jaký packet může z ktereho interface přijít (filtrace na
> úrovní IP) a o MAC adresu se už vůbec nemusím starat, protože to, že IP
> adresa odesilatele zapadá do nějakého rozsahu mi přímo určuje po kterém
> drátu to přišlo. No a když tam někdo odešle packet s IP, která nezapadá
> do rozsahu, tak ho první router zahodí. Je to sice krapet drahé řešení
> (router s firewallem), ale dobře fungující. 

To je trosku neco jineho. Mne slo o to, aby se nikdo nemohl pripojit do
vnitrni site nepozorovane. Takhle se nekdo pripichne na kabel, chvili bude
sledovat provoz a potom se muze bez problemu vydavat za bezny pocitac site.

-- 
Jakub Jirků <jsem na sosacek.org>
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20040526/96d57721/attachment.sig>