Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???

[es] :: Wireless :: Mikrotik :: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???

[ Pregleda: 4509 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
91.191.57.*

Sajt: https://nf-tel.com


+22 Profil

icon Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 13:49 - pre 176 meseci
Pokusavam pomocu mikrotika da zastitim jednu mrezu, tj da nezeljeni klijenti (posto imaju pristup lan infrastukturi) ne mogu pristupiti ni mrezi ni djeljenim resursima na istoj.Isključio sam automatsko upisivanje u ARP tabelu na interfejsu rutera koji ide prema pomenutoj mrezi
Code:
/interface ethernet set lan arp=reply-only

U ARP tabelu sam upisao i upario IP adrese i MAC adrese onih racunara koje zelim da zastitim u toj mrezi.
Posle toga sam se nakacio sa jednim racunarom, manuelno dodao ip adrese (koje su u opsegu koji ja zelim da zastitim) i pokusao sam da pristupim internetu (nisam mogao) ali sam mogao da vidim djeljenje foldere ostalih racunara (sto nikako nije dobro)
Mislio sam da racunari nece moci raditu u pomenutoj mrezi bez upisvanja i uparivanja MAC i IP adrese, ali izgleda da oni ipak rade
Dali sam negdje pogrijesio ili ovo nije dobar koncept da bi zastito svoju mrezu?
(Da napomenem nemam pristup instalacijima lan mreze i znam da svi LAn kablovi idu u jedan swich ili vise njih koji su izmedju sebe povezani, tako da svako ko zna moj opseg moze da pridje djeljenim dokumentima)

Šaka
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 17:14 - pre 176 meseci
Ukratko. Ako klijenti idu preko rutera - onda im mozes da zabranis pristup sherovanim folderima tako sto ces na ruteru da zatvoris odredjene portove. Ako idu svi kroz switch - e tu neces moci preko rutera nista jer komunikaciju rade kroz switch.
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.sa.hs-hkb.ba.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 18:56 - pre 176 meseci
Ne kontam te bas najbolje, moraju ici preko switcha, jedino da stavim 20 interfejsa na ruter pa da ih tako umrezim.
Šaka
 
Odgovor na temu

feniks-sd

Član broj: 163192
Poruke: 173
*.adsl.net.t-com.hr.



+2 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 21:05 - pre 176 meseci
Ne kontamo mi tebe, jer samo rijetki imaju "čarubnu kuglu" da ti pomogne. Da razjasnimo za početak neke detalje. Postoji korisnici koji imaju neka prava i drugi korisnici koji ta prava nemaju. Dali su i jedni i drugi primorani koristiti samo jednu mrežnu infrastrukturu i zašto. Zašto korisnici koje želiš izdvojiti u posebnu skupinu ne koriste različit subnet . Na taj način možeš imati dva swicha koji su spojeni na mikrotik na kojima se određuju određena prava ili zabrane.

Iz tvog pitanje se to ne može zaključiti, najbolje u takvoj sutuaciji možda napraviti i neku skicu situacije, pa bi naši odgovori tada bili daleko precizniji.
Nameće se isto pitanje u kojoj to ozbiljnijoj mreži koristi win shering za razmjenu podataka ?.
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.sa.hs-hkb.ba.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 22:34 - pre 176 meseci
Svi koriste jednu mreznu infrastrukturu, tj svi su u jednom brodcast domenu.Zasto?Zato sto je neko razveo uticnice po jednom vecem objektu i centralizovao ih u jedan switch, kojem ja nemam pristupa (inace bi ga fizicki odvojio i rijesio problem).Sada tu mreznu infrastukturu koristi vise zasebnih firmi (vecinom zbog interneta i razmjene podataka izmedju njih)Svi su radili u jednoj mrezi (192.168.0.0/24) zbog interneta jer nije postojao ni jedan ruter koji bi to podijelio u vise mreza.Ja treba da postavim ruter koji ce omoguciti internet u drugoj mrezi (192.168.100.0/24)
To sam zavrsio sa Mikrotikom.Ali posto ostali korisnici imaju fizicki pristup mrezi mogu vrlo lako da ulete o ovaj opseg i koriste tu "moju" odvovjenu mrezu.
Taj problem sam probao rijesiti tako sto sam na LAN interfejsu iskljucio
Code:
/interface ethernet set lan arp=reply-only

i u ARP tabeli sam dodao MAC adrese sa uparenim IP ovima racunara u mojoj mrezi.Po mikrotikovim upustvima kaze da cu ovom metodom zabraniti pristup mrezi svim ostalim racunarima koji nisu upisani i upareni u ARP tabelu.Ali izgleda da se ovo odnosi samo na izlaz na internet, a ne i na racunare u LAN mrezi.
Nadam se da sam bio jasniji sta zelim.I naravno dali to mogu rijesiti ovom metodom ili da jednostavno svoju mrezu subnetiram na 192.168.100.0/28 pa se ogranicim sa 14 iskoristivih IP ova i tako ostavim samo dvije moguce IP adrese koje mogu prici mrezi (jer cu koristiti 11 racunara + interfejs na mikrotiku)
Šaka
 
Odgovor na temu

feniks-sd

Član broj: 163192
Poruke: 173
*.adsl.net.t-com.hr.



+2 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???16.09.2009. u 23:06 - pre 176 meseci
Citat:
dragansar: Svi koriste jednu mreznu infrastrukturu, tj svi su u jednom brodcast domenu.Zasto?Zato sto je neko razveo uticnice po jednom vecem objektu i centralizovao ih u jedan switch, kojem ja nemam pristupa (inace bi ga fizicki odvojio i rijesio problem).Sada tu mreznu infrastukturu koristi vise zasebnih firmi (vecinom zbog interneta i razmjene podataka izmedju njih)Svi su radili u jednoj mrezi (192.168.0.0/24) zbog interneta jer nije postojao ni jedan ruter koji bi to podijelio u vise mreza.Ja treba da postavim ruter koji ce omoguciti internet u drugoj mrezi (192.168.100.0/24)



U svakom slučaju morao je postojati bar jedan router između korisnika i providera ?

Citat:

To sam zavrsio sa Mikrotikom.Ali posto ostali korisnici imaju fizicki pristup mrezi mogu vrlo lako da ulete o ovaj opseg i koriste tu "moju" odvovjenu mrezu.


Dali su korisnici jedne mreže ujedno i korisnici i druge mreže. Gdje je fizički smješten MikroTik, vjerojatno mora biti na mjestu svicha, da bi mu fizički bili dostupni kablovi. Na koji su način spojeni korisnici te tvoje druge mreže koju želiš izdvojiti.
Citat:

i u ARP tabeli sam dodao MAC adrese sa uparenim IP ovima racunara u mojoj mrezi.Po mikrotikovim upustvima kaze da cu ovom metodom zabraniti pristup mrezi svim ostalim racunarima koji nisu upisani i upareni u ARP tabelu.Ali izgleda da se ovo odnosi samo na izlaz na internet, a ne i na racunare u LAN mrezi.


Ovom metodom zabranio si međusobnu komunikaciju računala spojenih u lokalnoj mreži, osim sa samim routerom. Ovo nema nikakve veze sa korištenejm interneta.
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
91.191.57.*

Sajt: https://nf-tel.com


+22 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 08:12 - pre 176 meseci
Citat:
U svakom slučaju morao je postojati bar jedan router između korisnika i providera ?

Postoji ADSL modem na kojem je ukljucen NAT.Ali NAT mi moze raditi samo u jednom networku.
Citat:
Dali su korisnici jedne mreže ujedno i korisnici i druge mreže. Gdje je fizički smješten MikroTik, vjerojatno mora biti na mjestu svicha, da bi mu fizički bili dostupni kablovi. Na koji su način spojeni korisnici te tvoje druge mreže koju želiš izdvojiti.

Evo nacrtao sam kako to izgleda:
Na slici mi hvali jos jedan kabal od tika prema mrezi.Jedan je WAN posto internet dobijam DHCP om od ADSL modema.Drugi je LAN

Napomenuo sam da nemam pristup switch-vima
Citat:
Ovom metodom zabranio si međusobnu komunikaciju računala spojenih u lokalnoj mreži, osim sa samim routerom. Ovo nema nikakve veze sa korištenejm interneta.

Ja sam ovom metodom zabranio komunikaciju racunara lokalne mreze sa interfejsom na mikrotiku, tj njihovim trenutnimi gateway-om (samim tim sam zabranio izlaz na net) a komunikacija izmedju racunara u mrezi radi nesmetano.


Šaka
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 08:35 - pre 176 meseci
Komunikacija uredjaja koji su u istom subnetu ce uvek raditi nesmetano i ti tu nista ne mozes. Ta komunikacija se odvija direktno izmedju uredjaja i uopste im nije potreban ruter da bi ostvarili medjusobnu komunikaciju niti ti na ruteru mozes da vidis taj saobracaj.

Mozes da uradis nekoliko stvari:

1. Da preko dhcp-a kazes svim uredjajima da su u subnetu /32 odnosno da direktno mogu da komuniciraju samo sa samim sobom a da im za svaku drugu komunikaciju treba ruter. Tako ce SAV saobracaj ici preko rutera i to moze da bude prilicno opasno ako ljudi inace sa racunara na racunar prebacuju gigabajte. U tom slucaju ce ti trebati ruter sa mnogo Mhz.

2. Mozes da podignes pppoe server. I u tom slucaju ce opet sva komunikacija izmedju njih ici preko rutera i opet treba mnogo Mhz.

3. Jednostavno napravis dva subneta i kazes dhcp-u kako da deli adrese odnosno po kojim subnetima. U tom slucaju ce komunikacija izmedju subneta ici preko rutera i tu mozes da kontrolises saobracaj na firewall-u.

Sve ove tri tacke padaju u vodu ako neko od njih ima osnovno znanje o mrezama pa mu padne na pamet da rucno promeni konfiguraciju na racunarima i stavi ih u isti subnet (ili jednostavno promeni subnet masku sa /24 na /16) i onda mogu da komuniciraju izmedju sebe (a ako samo promene subnet masku onda ce moci i sa ruterom da komuniciraju).

Zakljucak: sve dok fizicki ne odvojis te dve mreze nema prave zastite.
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
91.191.57.*

Sajt: https://nf-tel.com


+22 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 09:56 - pre 176 meseci
Jasno podpuno.Ne znam samo kako mi je palo na pamet da mislim da ruter u ovakvoj konfiguraciji moze da zabrani ostalim racunarima da komuniciraju izmedju sebe.Hvala.
Šaka
 
Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.



+28 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 10:31 - pre 176 meseci
Nemam zivaca i koncentracije da analiziram sve, ali ako vec odrzavas mrezu, kako ocekujes da sve bude pod kontrolom ako nemas pristup switchevima?
Jesi li na slici samo fiktivno stavio da su to Cisco 2950 ili ne? Ukoliko imas svu slobodu da ih preuzmes, postoji password recovery procedura, pa posle lepo izdelis mrezu i logicke segmente pomocu VLAN-ova.
Mozda ti je ovo neizvodljivo ali bi bilo skoro pa idealno resenje.
Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
91.191.57.*

Sajt: https://nf-tel.com


+22 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 10:44 - pre 176 meseci
I ne ocekujem da bude sve pod kontrolom.Pristup nemam switch-evima jer tu rade neobrazovani ljudi i misle da cu ja nesta tu radim bla bla....firme razlicite....komlikovana prica....balkansa posla uglavnom.
Koristio sam Cisco Packet Tracer samo skicu da napravim.
Šaka
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
92.36.217.*

ICQ: 166070540


+8 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???17.09.2009. u 18:35 - pre 176 meseci
a sta mislis da racunarima preko dhcp-a pokusas dodijeliti subnetmasku 255.255.255.255 tj. masku sa prefixom /32 pa ce se svi racunari za bilo kakav saobracaj obracati gateway-u tj. mikrotiku, pa ces ti si tim saobracajem moci raditi sta te volja, tj. mozes zabraniti medjusobnu komunikaciju..... tesko da ce se ko sjetiti i ukucati tu masku ako bude rucno ukucavao mrezne parametre.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

Schmidt
RHCE

Član broj: 80784
Poruke: 647
92.241.146.*



+10 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???24.09.2009. u 15:25 - pre 176 meseci
Na mikrotiku ukini IP adresu na ethernetu koji je spojen na switch, podigni pppoe server i podijeli naloge svima kojima zelis da dozvolis internet. Privatna mreza ce i dalje raditi, ali niko ko nema username/password nece moci na net.
Najbolje rjesenje bi bilo kad bi imao pristup switchevima (ako su to Cisco upravljivi switchevi), pa na switchevima podesis VLAN-ove i totalno odvojis svoj segment mreze od ostatka. Ali, posto nemas pristup switchevima, jedno od rjesenja je pppoe.

Ili, da podesis arp na reply-only, podignes DHCP server sa opcijom add-arp-for-leases=yes, i napravis staticke leasove.
Na taj nacin cak i ako tamo neki pametnjakovic unese rucno adresu nece ga biti u arp tabeli i mislim da ne bi mogao na net (treba testirati). Ovo sa DHCP-om govorim nisam nikad radio sa njim, tako da se moje misljenje zasniva na poznavanju layera 2. U svakom slucaju, vrijedi probati...
 
Odgovor na temu

maksimad

Član broj: 111831
Poruke: 3
79.143.169.*



Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???05.10.2009. u 12:26 - pre 176 meseci
Pozdrav,

Ja sam imao totalno suprotan problem. Naime, imam otvorenu mrezu na teritoriji grada i svi koji uhvate wireless signal se mogu zakaciti. Cilj ovakve mreze je da prikupi sto vise clanova radi medjusobnog druzenja i rada. Na mrezi postoje GAME serveri CoD i CS, kao i lokalni DC hub kojim bi se trebao vrsiti saobracaj izmedju klijenata na mrezi, ali to nije bilo moguce (postoji nekakva veza, ali samo kroz mikrotik)... Na koji nacin i zbog cega - ne pitaj. Na mrezi postoje i VIP korisnici koji placaju odrzavanje mreze i internet link i oni imaju pristup internetu. To je ukratko opis mreze.

Mikrotik je ruter i gateway licenca lvl4 verzija 3.25.
Na LAN interfejsu je postavljen DHCP, HOTSPOT, ARP-enabled
Sta se desava: Bilo koji korisnik koji se zakaci na mrezu automatski dobija IP adresu od DHCP-a i u ARP tabeli se povezuju njegov IP i MAC. Ako korisnik ima rucno podesenu IP adresu (iz bilo kojeg opsega), Hotspot mu automatski preko bind-a dodeljuje lokalnu IP u opsegu MT-a i u ARP-u se njegova MAC veze za lokalnu IP adresu bez obzira sto je rucno podesena druga (iz drugog opsega). Prilikom otvaranja web browser-a izlazi login stranica i samo oni koji se uloguju imaju pristup internetu, ali i pristup DC-u. Napominjem da je DC server u lokalnoj mrezi povezan je preko obicnog switch-a sa ostalim korisnicima i MT-om. Korisnici koji se ne uloguju preko hotspot-a nemaju pristup ni jednom racunaru niti DC serveru (sto je moj najveci problem).
Trenutno sam uspeo da nateram MT da ne dira konekcije prema DC serveru, ali konekcije izmedju korisnika jos uvek pucaju.
Sada cu probati da na LAN interfejsu stavim ARP-reply only i rucno ubacim MAC/IP , u DHCP da stavim staticke adrese i add arp for leases ukljucim tako da i korisnici koji se povezu na mrezu imaju pristup DC-u. Koliko sam shvatio, ARP bukvalno "hvata" sve mrezne uredjaje na mrezi (ukljucujuci i AP-ove), ubacuje u tabelu i hotspot te adrese binduje na lokalne i samim tim ogranicava komunikaciju na korisnik-ruter-korisnik.

Nadam se da sam ti pomogao sa ovim pisanijem. Pozdrav iz Doboja.

PS. Ako neko ima ideju za moj problem, otvoren sam za predloge...
 
Odgovor na temu

Schmidt
RHCE

Član broj: 80784
Poruke: 647
*.blic.net.



+10 Profil

icon Re: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???05.10.2009. u 13:35 - pre 176 meseci
A mogao si i otvoriti novu temu, pa traziti pomoc...
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Iskljucivanje manuelno zapisa u ARP tebelu, Zastita ili...???

[ Pregleda: 4509 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.