11. april 2003 - 12:55Der er
5 kommentarer og 1 løsning
Forhindre gæster i at koble på netværk, hvordan?
Setup: Dedikeret linux gateway med DHCP. 62 klienter der får fast IP baseret på MAC-adresse. Subnets brugt: Servere o.l. 192.168.0.* Klienter: 192.168.1.[1-62]
Ønsker: At kunne stoppe gæster med en evt. bærbar eller lignende i at sætte en fast ip på foreksempel 192.168.1.123, og dermed bypasse DHCP-serveren. De må ikke kunne se diverse shares på netværket, og heller ikke benytte gatewayen til at komme på nettet.
Kan dette lade sig gøre?
Et link til en dybdegående tutorial vil være fint.
Firewall? Med den burde du kunne lukke for alle andre porte end dem du selv bruger/tillader. jeg ved ikke præcist hvordan du gør, kommer også an på typen af firewall. Jeg er lidt i tvivl om du tænker på folk, som du midlertidigt har på nettet eller folk der logger ind udefra - uønskede gæster?
Rent konkret er det et kollegie hvor folk betaler for at være på nettet. Så det er folk der "lige er på besøg" og sætter en bærbar til ved hjælp af en switch...
Din linux gateway er formentlig også firewall - f.eks. med ip-tables - her kan du forbyde adgang med "forkerte" source-ipadresser.
Adgang til netværksdrev kan knibe - du kan styre dine egne shares, men kan ikke kontrolleres andres. Hvis det er samba, så skal du blot bruge "hosts allow" i smb.conf - nemt at sætte op når du styrer ip-adresserne som bruges.
Til gengæld kan du løbe ind i det problem, at gæsterne blot bruger dhcp - og "låner" en adresse hos en bruger, som ikke er logget på.
Det styrer i /etc/dhcpd.conf - kontrol på mac-adresser, således at kun kendte mac-adresser kan få tildelt en ip-adresse.
Forresten kan du også bruge source-mac adresse i ip-tables - så er du ude over ip-adresser (selvom ip-adresser vil være nemmere at håndtere).
Det tager sig så af adgangen til internettet, men hvad med selve netværket? Altså at en bruger selv sætter en IP-adresse? F.eks. 192.168.1.123 som ikke eksisterer. Allerede nu giver jeg adresser baseret på MAC-adresser, som også nævnet i den oprindelige post.
Det kan du ikke forhindre med mindre du har en manageble switch, hvor du kan lave access lister - eller at der køres f.eks. radius på alle servere på nettet (også dem du ikke har kontrol over :-).
Jeg tror du er nødt til at erkende, at du ikke helt kan stoppe det. Hvis en kollegianer sætter en switch på, så kan en gæst under alle omstændigheder komme på de maskiner, som er koblet på den switch, som du ikke har kontrol over.
Så laves der blot internet deling af forbindelse - og så er den "gal" igen.
Jeg må indføre nogle "skrappe" regler istedet :) Tak for feedback'en :)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.