czytając posty dotyczące zabezpieczania sieci przed intruzami, stanowczo zalecacie wyłączenie DHCP i stosowanie wyłącznie Static DHCP.
Ale tutaj pojawia się problem.
Ustawiam w Static DHCP wszystkim komputerom i innym urządzeniom kolejne adresy IP, sprawdzając poprawność wpisów MAC. Wyłączam DHCP. Na komputerkach ustawiam uzyskiwanie adresu IP automatycznie.
wszystko wydaje się być dobrze ustawione ale nie działa !!!!!
Komputerki nie pobierają sobie przypisanych im adresów IP, z powodu niemożliwości podłączenia się do serwera DHCP. Jest to zrozumiałe, bo jest wyłączony
W takim razie to jak powinienem ustawić to Statyczne DHCP ?
- ustawić jednak DHCP w zakresie np. 192.168.1.254 : 192.168.1.254 i pozostawić powpisywane Static DHCP ?
- wyłączyć jednak DHCP i pomimo wpisów w Static DHCP wpisać na sztywno komputerkom ich IP ?
może istnieje jeszcze jakieś inne rozwiązanie problemu, ale ja o nim nie wiem ??
z góry dziękuję za jakieś sugestie, które pomogą w rozwiązaniu tego przypadku, bo ja już troszkę mam dość słuchania pracowników, że znowu im net nie działa !!!
DHCP musi być włączone i jego zakres najlepiej jakby był poza zakresem adresów statycznego DHCP. Wyłączenie DHCP wyłącza również możliwość korzystania z static DHCP. Z tego co wiem nie można na Tomato zrobić tak że wyłączysz DHCP i powpisujesz static DHCP - tak nie zadziała, chyba że się mylę to niech ktoś potwierdzi.
muszę jeszcze raz zaznaczyć, że jestem raczej bardziej zielonym pomidorkiem i z tego powodu mogę jak każdy początkujący bardzo się mylić !! :|
patrząc na Tomato i jego ogromne możliwości staram się je ogarnąć, i w jak najlepszy sposób zabezpieczyć swoją sieć.
a myślę w taki sposób :
- wyłączenie DHCP - uniemożliwia podłączenie się intruzów, z powodu braku adresów IP LAN
- ustawienie Static DHCP - przypisanie po MAC konkretnych IP, też utrudnia podłączenie się intruzów, ze względu na unikalność MAC
- wyłączenie DMZ, i przekierowania portów np. dla P2P
- wyłączenie wszelkiego ruchu na portach 135, 137 - 139, 445
- nie odpowiadanie na echo
- ustawienie Access Restriction dla niebezpiecznych portów, jak również dodanie reguł dostępu tylko dla konkretnych MAC
- dla WLAN ustawienie WPA/WPA2 Personal + TKIP/AES + klucz z generatora
chyba tyle jeśli chodzi o jakie takie zabezpieczenie sieci
do pełni szczęścia brakuje mi tylko tego statycznego DHCP, żeby kompiki pobierały sobie adresy IP po MAC adresach, ale bez włączonego DHCP, a nie wiem czy to zadziała.....
No to jedziemy ;)
Jak wpiszesz w static DHCP mac'i powiedzmy dla ip 192.168.1.2 do 192.168.1.10 a DHCP ustawisz na ten sam zakres to kompy skonfigurowane automatycznie (czyli uzyskaj ip i dns automatycznie w protokole tcp/ip karty sieciowej) beda otrzymywaly te ip ktore tam wpisales (jak ktos sie wepnie z innym mac'iem (intruz np) to nie otrzyma ip automatycznie). Jesli bedzie ta sama sytuacja tylko wylaczysz DHCP to tez bedzie dzialac tylko kompy nie otrzymaja ip z "urzedu" tylko kazdy w tcp/ip musi sobie recznie wpisac swoj ip (ten ktory mu wpisales w static dhcp), maske, brame i DNS'y.
Temat takiego zabezpieczania rozwine pozniej, jak sie umyje i cos zjem B)
Edit:
Cytat
a myślę w taki sposób :
- wyłączenie DHCP - uniemożliwia podłączenie się intruzów, z powodu braku adresów IP LAN
wylaczenie DHCP sprawia tylko tyle, ze kompy nie dostaja automatycznie adresow ip (wszyscy musza wpisac na sztywno, co jest juz utrudnieniem ale niestety nie dla intruza a dla malo pojetnego uzytkownika. Nie wyobrazam sobie latac i kazdemu z osobna ustawiac na kompie, bo sobie np system nowy postawil ;) jednym slowem najlepiej takie cos sobie odpuscic, bo i tak jak intruz sobie wklepie na sztywno to dostep bedzie mial)
Cytat
- ustawienie Static DHCP - przypisanie po MAC konkretnych IP, też utrudnia podłączenie się intruzów, ze względu na unikalność MAC
static DHCP jest dobrym pomyslem, bo mozesz sobie nazwac typa z mac'iem X ze jest to np mietek itd, dzieki czemu nawet jak ma nazwe kompa c328jz for example to odrazu i tak wiesz ze to mietek ;) i jak ma kompa ustawionego na automat to zawsze bedzie dostawal to samo ip od serwera DHCP(o ile patrz punkt 1, owo DHCP jest wlaczone)
Cytat
- wyłączenie DMZ, i przekierowania portów np. dla P2P
DMZ nie uzywam, jak ktos chce to moge mu wystawic kompa "na zewnatrz" ale i po co, zwykle obedzie sie na przekierowaniu jednego lub kilku portow...
Cytat
- wyłączenie wszelkiego ruchu na portach 135, 137 - 139, 445
rozumiem ze chodzi Ci o wirusy pchajace mase pakietow do netu, jesli masz ustawiony dobrze QoS to nie zapchaja lacza, wiec jak kto woli B)
Cytat
- nie odpowiadanie na echo
warto
Cytat
- ustawienie Access Restriction dla niebezpiecznych portów, jak również dodanie reguł dostępu tylko dla konkretnych MAC
w zaleznosci od potrzeb, ja z tego nie korzystam, wszyscy maja u mnie rowne prawa. W uzasadnionych przypadkach funkcja bardzo przydatna
Cytat
- dla WLAN ustawienie WPA/WPA2 Personal + TKIP/AES + klucz z generatora
pierwsze od czego zaczynam to brak zabezpieczen, potem jedziemy z zabezpieczeniami maksymalnie w gore, jak nie dziala, zjezdzamy w dol do momentu az zadziala. WPA to bardzo dobry pomysl. Dodalbym jeszcze do tego filtracje mac.
Cytat
chyba tyle jeśli chodzi o jakie takie zabezpieczenie sieci
do pełni szczęścia brakuje mi tylko tego statycznego DHCP, żeby kompiki pobierały sobie adresy IP po MAC adresach, ale bez włączonego DHCP, a nie wiem czy to zadziała.....
jesli chcesz to osiagnac to tak jak juz napisalem DHCP musisz miec wlaczone i z takim samym zakresem ip lub wiekszym jak w static DHCP.
Ja ze swojej strony dodalbym jeszcze skrypt z generatora gdzie dodajemy uzytkownikow ale mac'i, w opcjach zaawansowanych generatora wybieramy "zabezpiecz siec przed zmiana adresu ip/mac" dzieki czemu ktos kto podepnie sie z innym mac'iem bedzie mial 1kbit up i down :)
Choc i mac'i oczywiscie mozna wyssac ;) Im trudniej tym lepiej ;)
To tyle z moich doswiadczen, chociaz jeszcze jedno, dobrze dodac sobie skrypt dzieki ktoremu TTL bedzie mialo wartosc 0, jak ktos podlaczy router to na routerze net bedzie ale juz na kompie podlaczonym do niego nie. To oczywiscie mozna rowniez obejsc, choc na routerze edimaxa wlaczajac podbijanie TTL i tak net nie dzialal na kompie do niego podlaczonym, wiec znaczy to ze dziala solidnie ;)
Owy skrypt wyglada tak:
może wiecie czemu pomimo nie zaznaczenia opcji Broadcast w SSID, przy uruchomionym połączeniu WLAN widzę kilka sieci, a między innymi swoją sieć w wyświetlonym SSID ????
czyżby to nie do końca działało ?? czy też widzę tą swoją sieć ze wszystkimi szczegółami, bo mam już dodany jej profil w swoim lapku ??
Wiec usun profil i sprawdz bo wylaczone broadcast powinno wylaczyc rozglaszanie SSID. Tak jest w teorii, jak w praktyce nie wiem, bo jak widzisz w podpisie radio off Edytowany przez eRd dnia 23-08-2007 11:32
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON Zotac HD-ID11 (ION2),
slafo napisał/a:
do pełni szczęścia brakuje mi tylko tego statycznego DHCP, żeby kompiki pobierały sobie adresy IP po MAC adresach, ale bez włączonego DHCP, a nie wiem czy to zadziała.....
Ja mam u siebie zrobione w ten sposób, że DHCP serwer przydziela dynamicznie tylko jeden adres IP (czyli Start i End jest tym samym numerem IP) i ten numer IP ma mocno przyciete wszystkie parametry połączenia (pasmo, ilość połączeń).
W ten sposób działa mi Static DHCP i nawet gdyby ktoś sie podłączył "na lewo" to ma bardzo ograniczone możliwości, a z kolei ja mam możliwość łatwego podpięcia nowego użytkownika lub jakiegoś komputera w celu np. sprawdzenia.
A przy pomocy statystyk z Tablicy Ogłoszeń autorstwa Tabora, sprawdzam sobie okresowo czy przypadkiem z tego dynamicznie przydzielanego IP ktoś nie korzysta.
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
