Firewall или как запретить

Обсуждаем OS FreeBSD и сервисы на ней.

Firewall или как запретить

Сообщение lok1 » 26 окт 2009, 17:36

И снова здравствуйте, вопрос следующий. Пользователям выдаются белые адреса из пула /23 через PPPoE сервер. А теперь вопрос, как запретить пользователям назначать ручками себе ip адреса из этого диапазона?
Аватара пользователя
lok1
новичок
 
Сообщения: 19
Зарегистрирован: 08 окт 2009, 14:00

Re: Firewall или как запретить

Сообщение root » 26 окт 2009, 18:14

lok1 писал(а):А теперь вопрос, как запретить пользователям назначать ручками себе ip адреса из этого диапазона?

отобрать у них пароль от учетки "Администратор" :)
как ты ещё можешь запретить им делать что то на их компе

я понимаю к чему вопрос, посему отвечаю:
ну и что будет если они назначат IP-адрес руками ? а ничего не будет. почему ?
да потому, что у тебя на сетевой карте сервера, сморящей "вниз" (в сторону абонентов) нету никакого IP-адреса (если он у тя есть, то ессно снеси его оттуда)
а раз IPшника не сервере нет, то и в кач-ве default gateway абонент не может тебя указать
а раз не может, то пусть что угодно вбивает себе в настройки, инета он все равно не сможет получить

далее, т.к. в названии темы присутствует слово "Firewall"
я бы на твоем месте, зарубил фаиром все не используемые (ещё не выданные) внешники. нефиг ходить куда либо тому трафику, который все равно никуда не дойдет.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Firewall или как запретить

Сообщение lok1 » 26 окт 2009, 18:17

В том то и дело, что у меня на сервере PPPoE одна карточка смотрит на сервер БД, вторая в коммутаторе ((
Аватара пользователя
lok1
новичок
 
Сообщения: 19
Зарегистрирован: 08 окт 2009, 14:00

Re: Firewall или как запретить

Сообщение root » 26 окт 2009, 18:19

lok1 писал(а):В том то и дело, что у меня на сервере PPPoE одна карточка смотрит на сервер БД, вторая в коммутаторе ((

хммм.... и что ? что то я не понял.
на карточке в сторону абонентов снеси все IP-шники и все
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Firewall или как запретить

Сообщение lok1 » 26 окт 2009, 18:24

а как же они будут цепляться к серверу PPPoE? Без Ip на интерфейсе?
Аватара пользователя
lok1
новичок
 
Сообщения: 19
Зарегистрирован: 08 окт 2009, 14:00

Re: Firewall или как запретить

Сообщение lehisnoe » 26 окт 2009, 18:45

PPPoE - ppp over ethernet. Ключевая фраза - over ethernet, потому и будет работать даже без ипов на "нижней" карте.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Firewall или как запретить

Сообщение root » 26 окт 2009, 18:47

lehisnoe писал(а):а как же они будут цепляться к серверу PPPoE?

+1 к lehisnoe
не путай PPTP и PPPoE
комп абонента находит PPPoE сервер посылая broadcast пакет

Работа PPPoE осуществляется следующим образом.
Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — FF:FF:FF:FF:FF:FF и тип кадра — PPPoE Discovery). PPPoE сервер посылает клиенту ответ (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — МАС-адрес клиента и тип кадра — PPPoE Discovery). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии и MAC-адресами клиента и сервера. Затем в этом канале поднимается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик.


З.Ы. на будущее: когда поднимаешь какой нить новый протокол в своей сети, не помешает почитать доку по нему ;)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Firewall или как запретить

Сообщение lok1 » 27 окт 2009, 04:55

Все конечно понятно, но у меня на этом сервере и биллинг стоит ((
Аватара пользователя
lok1
новичок
 
Сообщения: 19
Зарегистрирован: 08 окт 2009, 14:00

Re: Firewall или как запретить

Сообщение root » 27 окт 2009, 10:27

lok1 писал(а):но у меня на этом сервере и биллинг стоит ((

и что с того ?
не вижу никакой связи

З.Ы. Не совсем правильно совмещать биллинг и сервер доступа....
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Firewall или как запретить

Сообщение lok1 » 27 окт 2009, 17:04

root писал(а):
lok1 писал(а):но у меня на этом сервере и биллинг стоит ((

и что с того ?
не вижу никакой связи

З.Ы. Не совсем правильно совмещать биллинг и сервер доступа....


просто я захожу через веб интерфейс в биллинг https://xx.xx.224.2/admin и так далее.

З.Ы. Знаю, но к сожалению пока ограничены в ресурсах, в дальнейшем конечно разведу отдельно, то есть в моей ситуации выхода нет?
Аватара пользователя
lok1
новичок
 
Сообщения: 19
Зарегистрирован: 08 окт 2009, 14:00

След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron