> Nie jestem za bardzo w temacie, bo usunąłem już część topika. Rozumiem, > że chodzi o przypisanie komputerom adresów ip, i pilnowaniu czy > przypadkiem ich sobie nie zmieniają, tak? Ja robiłem to w taki sposób: > > Używałem DHCP. Interfejsy dostają stałe IP. Skrypt nasłuchuje ruchu > (tcpdump) na interfejsie wewnętrznym gatewaya, i sprawdza czy wszystko > się zgadza (tzn. pary MAC+IP). Jeżeli nie, to po którymś pakiecie wysyła > e-maila gościowi, mi, i generuje regułkę dla iptables (blokuje dany MAC > na jakiś określony czas - 1 minuta). Po upływie minuty blokada jest > zdejmowana. Maile nie są wysyłane częściej jak jeden e-mail na 24h do > człowieka, i 1 na 1h do mnie.
Nie używam DHCP, to co proponujesz odcina gościowi dostęp do gatewaya. W sytuacji podszycia się pod adres wewn. interfejsu gatewaya wszystkie pakiety od userów są wysyłane do podszywającego się. Skutkuje to tym, że nikt nie ma dostępu do sieci. To taki DoS. Pojawiła się sugestia dynamicznej zmiany adresu bramki. Jest to jakieś rozwązanie (teoretycznie). Ale ma pewne wady. Np. możliwość ataku man-in-the-middle. Wystarczy przekierowywać pakiety na aktualny adres gw. Facet ma dostęp do całego ruchu w sieci ZANIM DHCP odświeży adres gw w innych kompach. Do tablicy arp na gw nie wpiszesz na sztywno adresu lokalnego interfejsu. Popraw mnie jeśli się mylę. Nie jestem pewien, czy przypadkiem zmiana adresu przez DHCP w Windozach nie odbywa się po restarcie kompa. Proszę o korektę, jeśli napisałem coś niezgodnego z prawdą. Pozdrawiam Barthoosh
