Re: [FUG-BR] RES: RES: is using my IP address
Em 26/09/06, Diego Morroni Pereira<[EMAIL PROTECTED]> escreveu: > Realmente, se houver a possibilidade de fugir do DHCP, atrele IP X MAC. > > > > > E FUJA DO DHCP (isso fede - sem ofenças). > > > > Essas medidas já facilitarão sua vida. Não concordo com você Diego e com você Andrei. o DHCP é uma excelente maneira de administrar sua rede de forma automática (senão a melhor). O que acontece é que o conceito de segmentação de rede não é implementado corretamente na maioria das situações, o que faz com que o DHCP seja temido e evitado por muitos. Pessoalmente, já instalei dezenas de rede aonde os únicos endereços IP que ficam em determinado barramento de estações são os delas mesmas. Então caso fulano colocar endereço IP de cliclano, eles brigarão entre si e não contra o resto da rede -- como nesse caso que parou o servidor que estava no mesmo segmento. Aí vocês podem pensar o seguinte: "E se fulano colocar o mesmo endereço do gateway?". Minha resposta já antecipada é: ele vai prejudicar só a si mesmo. O switch ou dispositivo similar irá proibir essa prática (o que realmente só funciona se o IP em conflito for o dele mesmo). Além disso é possível implementar 802.1X e outras técnicas de autenticação L2 (inclusive em redes sem fio) que evitam esse problema "pela raiz", porém são bm caros. Quando projeto determinada rede, os servidores ficam em uma rede ou VLAN e separo todo o tráfego entre eles normalmente com um PF+bridge entre elas, ou se o cliente possuir um switch L3 -- ele mesmo. Entendo quanto a condenar o uso de DHCP, porém isso não é a total e absoluta verdade e na minha opinião não deve ser "evangelizado" com tanto fervor. Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: is using my IP address
Realmente, se houver a possibilidade de fugir do DHCP, atrele IP X MAC. Abraços Diego Andrei de Oliveira Mosman escreveu: > Uma dica é utilizar para todo cliente um subclasseamento /30 com ips > inválidos na interface interna e caso haja necessidade de entregar IP real > faça com redirecionamento. > > Junto a isso defina em seus serviços essenciais o IP para "listen" ao invés > de colocar 0.0.0.0 (qquer IP) coloque o ip externo ou o ip do localhost, só > essas medidas já minimizam muito o impacto de uma alteração de IP na sua > rede. > > Atrele os IPs de TODAS as estações ao MAC (use layer2 do ipfw). > > Coloque uma regra barrando conexões com destino à 3128 (ou a porta q vc usa > no squid) vindo da interface externa. > > E FUJA DO DHCP (isso fede - sem ofenças). > > Essas medidas já facilitarão sua vida. > > []s Andrei > > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Ademir Costa Peixoto > Enviada em: terça-feira, 26 de setembro de 2006 21:28 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: is using my IP address > > Infelizmente PPPoE esta fora de cogitação... é uma rede wireless com > concorrente amplifcado :( > > Preciso proteger é o SO mesmo. > > > Mesmo assim, obrigado (e ainda espero uma dica :)) > > Ats > Ademir > > > - Original Message - > From: "Andrei de Oliveira Mosman" <[EMAIL PROTECTED]> > To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" > > Sent: Tuesday, September 26, 2006 9:25 PM > Subject: [FUG-BR] RES: is using my IP address > > > Ademir, > > Acho que a melhor solução anti-zé que você pode usar é rodar PPPoE pra > distribuir pros clientes, pois nesses casos você não precisa sequer > configurar um IP na interface que vai pra eles. > > Se isso aconteceu na sua rede local (e não foi seu chefe que fez) dá uma > detonada no usuário e tira o privilégio de administrador da máquina local > dele (no caso de XP, 2000, etc). > > O bom do PPPoE é que é autenticado, o ruim é que se a infra-estrutura > estiver ruim (interferência numa rede wireless por exemplo) a conexão pode > não se manter em pé. > > Bom, qquer coisa to na área. > > []s Andrei > MSN: [EMAIL PROTECTED] > > > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Ademir Costa Peixoto > Enviada em: terça-feira, 26 de setembro de 2006 21:09 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: [FUG-BR] is using my IP address > > Prezados, > > > Hoje um "zé" setou o ip do servidor na sua máquina e fez com que ela > parasse de navegar e pingar em todas as suas interfaces (3). > Temos DHCP e proxy squid... tudo morto. > > > Tem algum parâmetro do kernel que possa proteger? > > Sinceramente achei isso muito frágil. > > FreeBSD 6.1 AMD 64 > > > > Ats > Ademir Peixoto > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: is using my IP address
Uma dica é utilizar para todo cliente um subclasseamento /30 com ips inválidos na interface interna e caso haja necessidade de entregar IP real faça com redirecionamento. Junto a isso defina em seus serviços essenciais o IP para "listen" ao invés de colocar 0.0.0.0 (qquer IP) coloque o ip externo ou o ip do localhost, só essas medidas já minimizam muito o impacto de uma alteração de IP na sua rede. Atrele os IPs de TODAS as estações ao MAC (use layer2 do ipfw). Coloque uma regra barrando conexões com destino à 3128 (ou a porta q vc usa no squid) vindo da interface externa. E FUJA DO DHCP (isso fede - sem ofenças). Essas medidas já facilitarão sua vida. []s Andrei -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Ademir Costa Peixoto Enviada em: terça-feira, 26 de setembro de 2006 21:28 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: is using my IP address Infelizmente PPPoE esta fora de cogitação... é uma rede wireless com concorrente amplifcado :( Preciso proteger é o SO mesmo. Mesmo assim, obrigado (e ainda espero uma dica :)) Ats Ademir - Original Message - From: "Andrei de Oliveira Mosman" <[EMAIL PROTECTED]> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" Sent: Tuesday, September 26, 2006 9:25 PM Subject: [FUG-BR] RES: is using my IP address Ademir, Acho que a melhor solução anti-zé que você pode usar é rodar PPPoE pra distribuir pros clientes, pois nesses casos você não precisa sequer configurar um IP na interface que vai pra eles. Se isso aconteceu na sua rede local (e não foi seu chefe que fez) dá uma detonada no usuário e tira o privilégio de administrador da máquina local dele (no caso de XP, 2000, etc). O bom do PPPoE é que é autenticado, o ruim é que se a infra-estrutura estiver ruim (interferência numa rede wireless por exemplo) a conexão pode não se manter em pé. Bom, qquer coisa to na área. []s Andrei MSN: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Ademir Costa Peixoto Enviada em: terça-feira, 26 de setembro de 2006 21:09 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] is using my IP address Prezados, Hoje um "zé" setou o ip do servidor na sua máquina e fez com que ela parasse de navegar e pingar em todas as suas interfaces (3). Temos DHCP e proxy squid... tudo morto. Tem algum parâmetro do kernel que possa proteger? Sinceramente achei isso muito frágil. FreeBSD 6.1 AMD 64 Ats Ademir Peixoto - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
