Pozdrav svima!

Ovako...nedavno sam odlučio wireless router zamijeniti sa linux baziranim routerom pa sam sklepao nekakvu mašinu i na nju instalirao Ubuntu Linux 8.04 Server, kompjuter posjeduje 2 mrežne kartice i jednu wireless, eth0 i wireless ath0 su spojeni u bridge br0 na koji DHCP server dodjeljuje adrese a eth1 se koristi za spajanje pppoe veze na modem i routanje je uključeno i sve fino šljaka i stvarno sam prezadovoljan :).

Pitanje je sljedeće: na mreži ima 10-ak korisnika i neki od njih imaju vlastitu internet vezu i ideja je da DHCP server adrese dodjelje svim kompjuterima na mreži ali da gateway i DNS adrese dodjeljuje samo kompjuterima kojima bi sharao internet vezu, npr. da gateway i DNS dodjeljuje samo kompjuterima sa određenim MAC adresama (ili ako vi preporučate nešto jednostavnije ili bolje, nekom vrstom autentikacije na mrežu). To bi bilo to, nadam se da nisam pisao na nerazumljiv način i da ćete skužit bit problema.

Što se tiče znanja sa linuxom, solidan sam početnik, sa mrežama također.

Unaprijed zahvaljujem, pozdrav iz Splita! Goran

ne razumijem, nesto mi je cudno tu. Ne moze to tako radit :)

Pristupanje na mrezu se najvjerovatnije moze omogucit samo odredjenim MAC adresama što je jedan (po meni najbolji) tip zastite, ali ne razumijem ovo ostalo. Ako je neka masina spojena na tvoju mrezu i zelis joj dozvoliti pristup internetu potrebni su dakle svi ti parametri.
U koliko nije spojena nece ni imat te parametre vec od routera na koji je spojena.
Ne moze susjed bit spojen na dvije mreze u isto vrijeme..

Ne kontam, objasni mi malo

Mislim da bih c/p url slijedeceg clanka:
http://ex-parrot.com/~pete/upside-down-ternet.html

Osim sto je zabavno citati clanak, nauci se nesto o dhcpd-u i squid-u :)

OT: Jedino bi napomenuo da se ne slazem da je MAC filtering jedan od najboljih oblika zastite, odnosno, rekao bih da je jedan od najgorih. Najme tesko je sprijeciti nekoga da posniffa malo prometa i da promjeni MAC adresu kada :\ A sto najbolje, ponekada i dosta dobro prolazi promet (npr. prema gatewayu) mashinama koje imaju klonirane (identicne) MAC adrese, jedino sto ne mogu medjusobno komunicirati, ali osobi koja klonira mac to ionako nije u interesu. :)

s/MAC adresu kada/MAC adresu/g

Citat:

Zaboravio sam napomenuti da neki od korisnika koji ima u kući vlastiti internet, kod njega je IP za moju mrežu manualno namješten, tj namješteni su samo IP adress i NEtmask a gateway i dns su ostavljeni prazni. E ono što sam ja zamislio je da mi to moj server automatski obavlja znači po nekoj definiranoj listi da određenim korisnicima DHCP daje sve podatke (onima kojima je i internet potreban) a određenim korisnicima da im DHCP daje samo IP i netmask bez gatewaya i DNS-a (korisnicima koji kući imaju vlastiti internet i koji su priključeni na mrežu radi igranja igara, filesharinga itd..)

Ja već oko 3 godine koristim jedan stari kompjuter sa jednom malom linux distribucijom (Coyote linux) koja se boot-a sa diskete, a koju sam instalirao na hard disk, koji se automatski gasi nakon podizanja. Neki stari pentium na 800 MHz sa dvije mrežne kartice. Kako 40-tak kompjutera već godinama imaju internet preko flate-rate ADSL-a za oko 500 kn mjesečno, uopće ga ne diram. Sa pentiumom na 166 MHz nije uspijevao 'držati vodu' sa preko 20 korisnika, pa je ponekad smrznuo. 800 MHz i pentium 2 mu je sasvim dovoljno i mjesecima ne smrzne.
Podešavanja radim direktno editiranjem datoteka...
Evo nekih primjera:

-Firewall (sve imaju dopušteno samo administratori sa određenom mac adresom):
access Y permit all mac:00.58.47.00.00.00 any all
access Y deny tcp 192.168.0.91 any 80
allow_port 80 tcp # HTTP
allow_port 80 udp
allow_port 53 tcp # DNS
allow_port 53 udp
allow_port 443 tcp # HTTPS
allow_port 443 udp
allow_port 25 tcp # POP3
allow_port 25 udp
allow_port 110 tcp # SMTP
allow_port 110 udp

-QOS (blokiranje brzine korisnicima down: 32-200 kbps i up: 2-100 kbps):
define_class_sfq "1:1" "1:4" 32 200 2 100 192.168.0.4
define_class_sfq "1:1" "1:5" 32 200 2 100 192.168.0.5
define_class_sfq "1:1" "1:9" 32 200 2 100 192.168.0.9
...

-Forwards ( portovi za spajanje sa interneta na lokalni mrežni kompjuter)
auto Y tcp 3389 192.168.0.220 # MS RemoteDesktop
auto Y tcp 5900 192.168.0.220 # VNC
auto Y tcp 5800 192.168.0.220 # VNC

mislim da to neces moc izvest, barem ja neznam nacin jer to nikad nije potrebno u biti. Mozda da pozatvaras portove pa ce ti doc na isto.

Zaboravio sam napisati...

DynDNS mi rješava promjenu IP adrese koju T-com mjenja jednom dnevno. 'Slijepilo' za spajanje izvana traje oko 5 minuta, kasno u noći, i rad sa strane interneta prema firmi je sličan kao da imamo fiksnu IP adresu.
Najprije smo pokušali sa fiksnim router-om od T-com-a, koji je stvarao mnogo problema, a mjesečna je cijena bila oko 5000 kn za fiksnu adresu.
Vratili smo ga nakon 6 mjeseci (za svaku promjenu tjednima smo se 'navlačili', jer ga oni administriraju).
I čak su nam (zbog godišnjeg ugovora) bez kompleksa naplatili razliku. Tako nas je eksperiment od 6 mjeseci koštao više od 20 000 kn.

Srećom postoji linux...
Više sam nego zadovoljan sa internetom od 500-tinjak kuna mjesečno, koji mi je Coyote linux omogućio za 50-tak kompjutera.

Sigurno ima i boljih distribucija, sa više mogućnosti, novijih verzija kernela, ali dok ovo radi, ja ne diram.

Citat:
Ne razumijem bas, ali svejedno bi se drzao MAC filtera.

Po meni:
promjena admin pass
promjena naziva mreze (SSID)
SSID broadcast off
nekakva enkripcija
MAC filter
zatvaranje nepotrebnih portova ovisno o servisima na mrezi
svakako zabrana root logina bilo ftp ili ssh

je dosta za svaku manju ili vecu mrezu.

zaboravio sam rec i administrator takve mreze je jako vazan cimbenik :)

napad je lako locirati kad napadac pocme slati pakete, prije toga ga je nemoguce locirati po nekavoj logici.

Admin bi trebao periodicno provjeravati kome i kada odlaze paketi, koje adrese su spojene na mrezu itd itd..

Po meni takvu mrezu je nemoguce napasti, odnosno moguce je napasti ali je nemoguce napraviti vecu stetu.

i kada krene snifat nece uvijek dobiti mac adresu. treba znati i prepoznati ako dobije neke brojeve to ne moraju nuzno bit mac adrese. nakon toga mora generirati mac adrese na osnovu zadnja tri bajta a takav napad se stvarno lako otkrije jer se desava do nekoliko tisuca puta u sekundi :)