forum.opennet.ru

Составление сообщения

Исходное сообщение

"Как защитить PPPoE соединения от поддлки?"
Отправлено dimus, 01-Мрт-06 07:31

>
>ну вы блин, даёте.
>Если уж вы поставили ПППоЕ, то юзеров в интернет надо пускать не
>с локального интерфейса, а только с интерфейса PPP. пересмотрите правила на
>своём фаерволе.
Совершенно верно.
Но есть еще более надежный и лучший вариант. Правда прийдется потратится на управляемый свитч. Речь иде о технологии VLAN. Вкратце: на свиче пакетам езернет приделваются тэги (максимальный размер пакета при этом уведичивается на 4 байта, что плохо воспринимается некоторыми древними сетевухами.) Для ее поддержки надо иметь управляемый свич, который умеет тэгировать трафик - это называется 802.1q - и включить поддержку виланов в линуксе (модуль ядра будет называться 8021q).
После проведения подготовительных мероприятий (покупка и установка свича, настройка на нем виланов) вы при помощи команды vconfig поднимаете у себя интерфейсы на каждый вилан:
bash-3.00# vconfig add eth0 2
Added VLAN with VID == 2 to IF -:eth0:-
Если после этого запустить команду ifconfig, то вы увидите кроме основного интерфейса еще ваш вилан:
eth0.2    Link encap:Ethernet  HWaddr 00:0E:A6:12:34:56
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
Вид имени вилана настраивается - вы можете например сделать так, чтобы он выглядел как vlan2
НЕ ИСПОЛЬЗУЙТЕ ВИЛАН 1 - это может вызвать ряд проблем.
После создания виланов каждый пользователь сажается в отдельный вилан. Допустим, мы используем сетку 192.168.5.x
Тогда:
Пользователь 1:
network   192.168.5.0/30
router    192.168.5.1
client    192.168.5.2
broadcast 192.168.5.3
Пользователь 2:
network   192.168.5.4/30
router    192.168.5.5
client    192.168.5.6
broadcast 192.168.5.7
И так далее.
Результат:
1. весь трафик идет через роутер и может быть просчитан.
2. Клиенты изолированы друг от друга
3. Так как тегирует трафик свич, то пользователь не имеет физической возможности притвориться кем-то другим.
Недостатки:
1. Нужен управляемый свич (см. например DLink 3226 - г еще то, но гораздо дешевле, чем Cisco)
2. Большой расход адресного пространства - при использовании частных адресов это абсолютно фиолетово.

Исходное сообщение
"Как защитить PPPoE соединения от поддлки?" Отправлено dimus, 01-Мрт-06 07:31
> >ну вы блин, даёте. >Если уж вы поставили ПППоЕ, то юзеров в интернет надо пускать не >с локального интерфейса, а только с интерфейса PPP. пересмотрите правила на >своём фаерволе. Совершенно верно. Но есть еще более надежный и лучший вариант. Правда прийдется потратится на управляемый свитч. Речь иде о технологии VLAN. Вкратце: на свиче пакетам езернет приделваются тэги (максимальный размер пакета при этом уведичивается на 4 байта, что плохо воспринимается некоторыми древними сетевухами.) Для ее поддержки надо иметь управляемый свич, который умеет тэгировать трафик - это называется 802.1q - и включить поддержку виланов в линуксе (модуль ядра будет называться 8021q). После проведения подготовительных мероприятий (покупка и установка свича, настройка на нем виланов) вы при помощи команды vconfig поднимаете у себя интерфейсы на каждый вилан: bash-3.00# vconfig add eth0 2 Added VLAN with VID == 2 to IF -:eth0:- Если после этого запустить команду ifconfig, то вы увидите кроме основного интерфейса еще ваш вилан: eth0.2 Link encap:Ethernet HWaddr 00:0E:A6:12:34:56 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Вид имени вилана настраивается - вы можете например сделать так, чтобы он выглядел как vlan2 НЕ ИСПОЛЬЗУЙТЕ ВИЛАН 1 - это может вызвать ряд проблем. После создания виланов каждый пользователь сажается в отдельный вилан. Допустим, мы используем сетку 192.168.5.x Тогда: Пользователь 1: network 192.168.5.0/30 router 192.168.5.1 client 192.168.5.2 broadcast 192.168.5.3 Пользователь 2: network 192.168.5.4/30 router 192.168.5.5 client 192.168.5.6 broadcast 192.168.5.7 И так далее. Результат: 1. весь трафик идет через роутер и может быть просчитан. 2. Клиенты изолированы друг от друга 3. Так как тегирует трафик свич, то пользователь не имеет физической возможности притвориться кем-то другим. Недостатки: 1. Нужен управляемый свич (см. например DLink 3226 - г еще то, но гораздо дешевле, чем Cisco) 2. Большой расход адресного пространства - при использовании частных адресов это абсолютно фиолетово.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> 
>>ну вы блин, даёте.
>>Если уж вы поставили ПППоЕ, то юзеров в интернет надо пускать не 
>>с локального интерфейса, а только с интерфейса PPP. пересмотрите правила на 
>>своём фаерволе.

> Совершенно верно.
> Но есть еще более надежный и лучший вариант. Правда прийдется потратится на 
> управляемый свитч. Речь иде о технологии VLAN. Вкратце: на свиче пакетам 
> езернет приделваются тэги (максимальный размер пакета при этом уведичивается на 4 
> байта, что плохо воспринимается некоторыми древними сетевухами.) Для ее поддержки надо 
> иметь управляемый свич, который умеет тэгировать трафик - это называется 802.1q 
> - и включить поддержку виланов в линуксе (модуль ядра будет называться 
> 8021q).

> После проведения подготовительных мероприятий (покупка и установка свича, настройка на 
> нем виланов) вы при помощи команды vconfig поднимаете у себя интерфейсы 
> на каждый вилан: 
> bash-3.00# vconfig add eth0 2 
> Added VLAN with VID == 2 to IF -:eth0:-

> Если после этого запустить команду ifconfig, то вы увидите кроме основного интерфейса 
> еще ваш вилан:

> eth0.2    Link encap:Ethernet  HWaddr 00:0E:A6:12:34:56 
>           BROADCAST MULTICAST 
>  MTU:1500  Metric:1 
>           RX packets:0 
> errors:0 dropped:0 overruns:0 frame:0 
>           TX packets:0 
> errors:0 dropped:0 overruns:0 carrier:0 
>           collisions:0 txqueuelen:0 
 
>           RX bytes:0 
> (0.0 b)  TX bytes:0 (0.0 b)

> Вид имени вилана настраивается - вы можете например сделать так, чтобы он 
> выглядел как vlan2

> НЕ ИСПОЛЬЗУЙТЕ ВИЛАН 1 - это может вызвать ряд проблем.

> После создания виланов каждый пользователь сажается в отдельный вилан. Допустим, мы используем 
> сетку 192.168.5.x 
> Тогда: 
> Пользователь 1: 
> network   192.168.5.0/30 
> router    192.168.5.1 
> client    192.168.5.2 
> broadcast 192.168.5.3

> Пользователь 2: 
> network   192.168.5.4/30 
> router    192.168.5.5 
> client    192.168.5.6 
> broadcast 192.168.5.7

> И так далее.
> Результат: 
> 1. весь трафик идет через роутер и может быть просчитан.
> 2. Клиенты изолированы друг от друга 
> 3. Так как тегирует трафик свич, то пользователь не имеет физической возможности 
> притвориться кем-то другим.

> Недостатки: 
> 1. Нужен управляемый свич (см. например DLink 3226 - г еще то, 
> но гораздо дешевле, чем Cisco) 
> 2. Большой расход адресного пространства - при использовании частных адресов это абсолютно 
> фиолетово.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру