Hallo zusammen, habe wiedermal ein kleines Problem, und zwar muß ich für ein Studentenheim einen Server installieren, mit einem DHCP, DNS und Squid mit Antivirus, so nicht wircklich ein Probelm aber ich muß dafür sorgetragen das wenn ein ClientPC sich eine andere IP einträgt als die im von DHCP Server zugewisen und damit versucht ins Internet zu gehen, keine erlaubnis bekommt. Habt Ihr irgend eine Idee wie ich das eralisieren könnte? Würd auch gern Googln, leider hab nicht wircklich eine Idee nach was! Danke im voraus mfg Thomas
Hi ! Stichwort ist hier MAC Adresse (*): in dhcpd.conf hilft solch ein Eintrag: host the_host { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address XXX.XXX.XXX.XXX; } dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen: iptables -m mac --mac-source MACADR usw... Hope this helps MfG, Gerd On Friday 28. January 2005 10:41, Thomas Masaninger wrote:
Hallo zusammen,
habe wiedermal ein kleines Problem, und zwar muß ich für ein Studentenheim einen Server installieren, mit einem DHCP, DNS und Squid mit Antivirus, so nicht wircklich ein Probelm aber ich muß dafür sorgetragen das wenn ein ClientPC sich eine andere IP einträgt als die im von DHCP Server zugewisen und damit versucht ins Internet zu gehen, keine erlaubnis bekommt.
Habt Ihr irgend eine Idee wie ich das eralisieren könnte?
Würd auch gern Googln, leider hab nicht wircklich eine Idee nach was!
Danke im voraus
mfg Thomas
Hallo Gerd, Thomas, On Fri, Jan 28, 2005 at 11:43:14AM +0100, Gerd-Christian Michalke wrote:
Stichwort ist hier MAC Adresse (*):
in dhcpd.conf hilft solch ein Eintrag:
host the_host { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address XXX.XXX.XXX.XXX; }
dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen:
iptables -m mac --mac-source MACADR usw...
der Ansatz ist schon recht sicher. Allerdings nur solange $SKILL bei deinen Usern nicht all zu hoch ist. Sonst kann ein einfaches ifconfig in Verbindung mit z.B. dhcpcd dazu genutzt werden diese "Sicherheitssperre" zu umgehen. Wenn du nur Windows Systeme im LAN hast und sicherstellen kannst, dass keine anderen Systeme "eingeschleppt" werden sollte das deine Lösung sein. VPN ist evtl. noch sicherer. Allerdings ein ziemlicher Overhead. Des weiteren würde ich als ehemaliger Student ein solches System gar nicht gut heißen, daß es mir nicht erlaubt mit irgend einer meiner Kisten direkt ans Netz zu gehen. Ich kenne aber auch das Problem mit Idioten, die andere IP Adressen kapern und damit das Netz unbrauchbar machen. Das ist dann aber wieder ein soziales Problem was sich nur bedingt mit technischen Mitteln lösen läst. Des weiteren finde ich es dämlich, das z.B. Belwue den kompletten Traffic mit gesetzem syn Flag blockt, nur um $TAUSCHBÖRSENNUTZER auszugrenzen. Damit sind z.B. private Webserver und remote ssh Zugang zum eigenen Server nur über sehr seltsame "Umwege" möglich. Klar wird dadurch auch die Nutzung von Tauschbörsen erschwert. Der sinnvolle Umgang mit Technik ist aber denke ich auch ein Punkt der an einer Hochschule vermittelt werden sollte. Und nur wegen ein paar Idioten, die übrigens problemlos identifizierbar sind allen Usern den freien Zugang zum Netz zu blockieren finde ich falsch. Ja die zweite Möglichkeit erfordert etwas mehr Wissen und ist etwas aufwändiger. IMHO lohnt es sich aber diesen Aufwand zu betreiben. Das wird jetzt dann aber wohl etwas zu OT ;) Find, fix, unplug ;) Greetings Daniel -- Outlook users: please do not put my email address in your address book. This way, when you get infected with a virus, my address won't appear in the From: header. Thanks.
Am Freitag, 28. Januar 2005 16:28 schrieb Daniel Lord:
Hallo Gerd, Thomas,
On Fri, Jan 28, 2005 at 11:43:14AM +0100, Gerd-Christian Michalke wrote:
Stichwort ist hier MAC Adresse (*):
in dhcpd.conf hilft solch ein Eintrag:
host the_host { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address XXX.XXX.XXX.XXX; }
dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen:
iptables -m mac --mac-source MACADR usw...
der Ansatz ist schon recht sicher. Allerdings nur solange $SKILL bei deinen Usern nicht all zu hoch ist. Sonst kann ein einfaches ifconfig in Verbindung mit z.B. dhcpcd dazu genutzt werden diese "Sicherheitssperre" zu umgehen. Wenn du nur Windows Systeme im LAN hast und sicherstellen kannst, dass keine anderen Systeme "eingeschleppt" werden sollte das deine Lösung sein. Nicht ganz, mit Windows-Systemen ist es mittlerweile auch möglich, die MAC-Addressen zu verändern. Entweder durch ändern von Werten in der Registrierung oder mit Hilfe einer Software.
VPN ist evtl. noch sicherer. Allerdings ein ziemlicher Overhead.
Des weiteren würde ich als ehemaliger Student ein solches System gar nicht gut heißen, daß es mir nicht erlaubt mit irgend einer meiner Kisten direkt ans Netz zu gehen. Ich kenne aber auch das Problem mit Idioten, die andere IP Adressen kapern und damit das Netz unbrauchbar machen. Das ist dann aber wieder ein soziales Problem was sich nur bedingt mit technischen Mitteln lösen läst.
Des weiteren finde ich es dämlich, das z.B. Belwue den kompletten Traffic mit gesetzem syn Flag blockt, nur um $TAUSCHBÖRSENNUTZER auszugrenzen. Damit sind z.B. private Webserver und remote ssh Zugang zum eigenen Server nur über sehr seltsame "Umwege" möglich. Klar wird dadurch auch die Nutzung von Tauschbörsen erschwert. Das machen einige Universitäten und FH's.
Der sinnvolle Umgang mit Technik ist aber denke ich auch ein Punkt der an einer Hochschule vermittelt werden sollte. Und nur wegen ein paar Idioten, die übrigens problemlos identifizierbar sind allen Usern den freien Zugang zum Netz zu blockieren finde ich falsch. Einige? Die meisten User nutzen solche Tauschbörsen. Ja die zweite Möglichkeit erfordert etwas mehr Wissen und ist etwas aufwändiger. IMHO lohnt es sich aber diesen Aufwand zu betreiben.
Das wird jetzt dann aber wohl etwas zu OT ;)
Find, fix, unplug ;)
Greetings Daniel
Am Freitag, 28. Januar 2005 17:28 schrieb Thomas Gräber:
Am Freitag, 28. Januar 2005 16:28 schrieb Daniel Lord:
Hallo Gerd, Thomas,
On Fri, Jan 28, 2005 at 11:43:14AM +0100, Gerd-Christian Michalke wrote:
Stichwort ist hier MAC Adresse (*):
in dhcpd.conf hilft solch ein Eintrag:
host the_host { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address XXX.XXX.XXX.XXX; }
dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen:
iptables -m mac --mac-source MACADR usw...
der Ansatz ist schon recht sicher. Allerdings nur solange $SKILL bei deinen Usern nicht all zu hoch ist. Sonst kann ein einfaches ifconfig in Verbindung mit z.B. dhcpcd dazu genutzt werden diese "Sicherheitssperre" zu umgehen. Wenn du nur Windows Systeme im LAN hast und sicherstellen kannst, dass keine anderen Systeme "eingeschleppt" werden sollte das deine Lösung sein.
Nicht ganz, mit Windows-Systemen ist es mittlerweile auch möglich, die MAC-Addressen zu verändern. Entweder durch ändern von Werten in der Registrierung oder mit Hilfe einer Software.
Hä? Nix ist einfacher, als mit Windows die MAC zu ändern. Das geht auf jeden Fall seit Win98, evtl auch schon früher. Einfach im Gerätemanager die Netzwerkkarte auswählen, doppelt anklicken (oder [Eigenschaften]) und dann dort eine x-beliebige Hardwareadresse eintragen. Ggf. noch neu booten (?). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Daniel Lord schrieb: | Hallo Gerd, Thomas, | | On Fri, Jan 28, 2005 at 11:43:14AM +0100, Gerd-Christian Michalke wrote: | |>Stichwort ist hier MAC Adresse (*): |> |>in dhcpd.conf hilft solch ein Eintrag: |> |>host the_host { |> hardware ethernet xx:xx:xx:xx:xx:xx; |> fixed-address XXX.XXX.XXX.XXX; |>} |> |>dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen: |> |>iptables -m mac --mac-source MACADR usw... | | | der Ansatz ist schon recht sicher. Allerdings nur solange $SKILL bei | deinen Usern nicht all zu hoch ist. Sonst kann ein einfaches | ifconfig in Verbindung mit z.B. dhcpcd dazu genutzt werden diese | "Sicherheitssperre" zu umgehen. Wenn du nur Windows Systeme im LAN | hast und sicherstellen kannst, dass keine anderen Systeme | "eingeschleppt" werden sollte das deine Lösung sein. VPN ist evtl. | noch sicherer. Allerdings ein ziemlicher Overhead. | | Des weiteren würde ich als ehemaliger Student ein solches System gar | nicht gut heißen, daß es mir nicht erlaubt mit irgend einer meiner | Kisten direkt ans Netz zu gehen. Ich kenne aber auch das Problem mit | Idioten, die andere IP Adressen kapern und damit das Netz | unbrauchbar machen. Das ist dann aber wieder ein soziales Problem | was sich nur bedingt mit technischen Mitteln lösen läst. | | Des weiteren finde ich es dämlich, das z.B. Belwue den kompletten | Traffic mit gesetzem syn Flag blockt, nur um $TAUSCHBÖRSENNUTZER | auszugrenzen. Damit sind z.B. private Webserver und remote ssh Zugang | zum eigenen Server nur über sehr seltsame "Umwege" möglich. Klar | wird dadurch auch die Nutzung von Tauschbörsen erschwert. Der | sinnvolle Umgang mit Technik ist aber denke ich auch ein Punkt der | an einer Hochschule vermittelt werden sollte. Und nur wegen ein paar | Idioten, die übrigens problemlos identifizierbar sind allen Usern | den freien Zugang zum Netz zu blockieren finde ich falsch. Ja die | zweite Möglichkeit erfordert etwas mehr Wissen und ist etwas | aufwändiger. IMHO lohnt es sich aber diesen Aufwand zu betreiben. | | Das wird jetzt dann aber wohl etwas zu OT ;) | | Find, fix, unplug ;) | | Greetings Daniel Hallo Daniel, leider ist es gar nicht so leicht die "Idioten - User" zu finden, da es hierbei um ein Altes Gebäude handelt und es keine einzigen Netzwerkpläne und auch keine Managed Switches gibt. Ein eigener WebServer wird vom ISP und der UNI ausdrücklich ausgeschlossen. mfg Thomas -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFB/L4LQK8V6jVp154RAglMAJ9GkuG0qxllPzWNEqz1WJxSHro0vwCcCo9j qlSVOE/sVpj13o/MhwUSu7w= =80dK -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Gerd-Christian Michalke schrieb: | Hi ! | | Stichwort ist hier MAC Adresse (*): | | in dhcpd.conf hilft solch ein Eintrag: | | host the_host { | hardware ethernet xx:xx:xx:xx:xx:xx; | fixed-address XXX.XXX.XXX.XXX; | } | | dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen: | | iptables -m mac --mac-source MACADR usw... | | Hope this helps | | MfG, | Gerd | | | On Friday 28. January 2005 10:41, Thomas Masaninger wrote: | |>Hallo zusammen, |> |>habe wiedermal ein kleines Problem, und zwar muß ich für ein |>Studentenheim einen Server installieren, mit einem DHCP, DNS und Squid |>mit Antivirus, so nicht wircklich ein Probelm aber ich muß dafür |>sorgetragen das wenn ein ClientPC sich eine andere IP einträgt als die |>im von DHCP Server zugewisen und damit versucht ins Internet zu gehen, |>keine erlaubnis bekommt. |> |>Habt Ihr irgend eine Idee wie ich das eralisieren könnte? |> |>Würd auch gern Googln, leider hab nicht wircklich eine Idee nach was! |> |>Danke im voraus |> |>mfg |>Thomas | | Hi Gerd, danke für die Hilfe. mfg Thomas -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFB/Lj2QK8V6jVp154RAk3fAKCJ0S/L8B/b4WNoMeTVUj5KEj5blwCcDpYn x8WQQu79r7skh//bDv7VmXQ= =Eu6I -----END PGP SIGNATURE-----
participants (5)
-
Daniel Lord -
Gerd-Christian Michalke -
Matthias Houdek -
Thomas Gräber -
Thomas Masaninger