ugrás a tartalomhoz

IP ütközés elkerülése

engineer · 2010. Feb. 9. (K), 17.55
Sziasztok.

Helyi hálózaton működik a webszerverem, a szervert futtató gépnek pedig fix IP címe van, hogy a többi gép könnyen megtalálja. (ha a router osztaná az IP-t akkor áramszünet után más lenne a szerver címe)
A hálózatra többen is csatlakoznak, akik a webszerveren lévő tartalmat böngészik/használják.
A kérdésem az, hogy ha valaki mondjuk 'heccből' a saját gépének IP címét szintén fixre állítja, méghozzá ugyanarra a címre amin a webszerver is fut, akkor hogy lehet elérni hogy ne legyen IP cím ütközés, hanem a webszervert futtató gép 'elsőbbséget élvezzen'? Esetleg olyan címe legyen, amit a többiek nem állíthatnak be?
- már ha meg lehet oldani egyáltalán -
Lehet valami ilyesmit beállítani a routerben? Vagy van olyan hálózati eszköz ami ezt megoldaná nekem?

Amire gondoltam, az az hogy 2 routert használok, és az egyiket a másik 'alá' dugom, erre csatlakoznak a többiek, a 'felsőre' pedig a webszerverem.
Persze ez így önmagában semmi, de mivel nem nagyon értem ezeket a - alhálózati maszk, átjáró, DNS kiszolgáló - címeket ezért inkább nem próbálkoznék nehogy a végén még én rontsak el valamit.

Remélem érthetően fejeztem ki magam.

Előre is köszi.
 
1

Nyugalom

gphilip · 2010. Feb. 9. (K), 20.13
Szia,
nem tud beállÍtani olyan cÍmet, ami már foglalt, a routered tudja ezt.
2

?

eashlon · 2010. Feb. 9. (K), 21.22
Már miért ne tudna?
Nem jövök rá, h egy alap router hogyan védi ki, hogy ne adhassak manuálisan két egyforma ip-t.

Viszont az alap kérdésen elgondolkodtam, de egyelőre nem jut eszembe a kellően primitív megoldás.
3

Nem tudja

janoszen · 2010. Feb. 9. (K), 22.54
Ezt csak akkor tudhatja, hogy ha az adott IP benne van az ARP táblájában. Szerintem, a butább DHCP szerverek nem tudnak ilyesmit.

A kérdésre a válasz az, hogy vagy használsz a hálózatban zeroconf címeket vagy kénytelen vagy figyelni az ilyesmire. Ha van Linuxod, akkor az arpwatch szoftver segíthet ebben. A Windows meg úgyis szól, ha ütközés van, vedd elő a baseball ütőt.

A két routeres megoldás is játszhat, viszont akkor a két router külön IP tartományban lesz és a külsőből nem fogod tudni elérni a belsőt (kivéve, ha confolsz routingot, de ahhoz már érteni kell). A másodlagos router esetén ez meglehetős biztonságot nyújt.

Ha valamiféle támadótól akarod megvédeni a hálózatodat, akkor nézd meg a 802.1X protokollt valamint a port security opciót a switcheden. Ehhez viszont már valami komolyabb switch kell.
4

van 2 routerem

engineer · 2010. Feb. 9. (K), 23.31
A két routeres megoldás is játszhat, viszont akkor a két router külön IP tartományban lesz és a külsőből nem fogod tudni elérni a belsőt

Szerintem ez nem baj. Elég ha a webszerver elérhető és használható.
Tudnátok segíteni abban hogy hogyan állítom be őket?
Ha még az is mehet hogy az internethez is hozzáférhessenek, az meg még extra luxus lenne.

Egyébként nem sürgős a dolog, inkább csak elméleti kérdés, mert asszem tényleg előbb kezdenék baseballozni. :)
5

infó?

eashlon · 2010. Feb. 10. (Sze), 03.17
Ahhoz, hogy erre valami értékelhető választ kapj, kicsit több infó kellene.
pl: milyen net, router, milyen kliensek, pontosan mit takar az emlegetett szerver, mire használod, mi a cél, hogyan működjenek a dolgok, mit lehessen kívülről elérni, mit ne , stb...
6

infó

engineer · 2010. Feb. 10. (Sze), 11.31
Oké, akkor pontosítok.

A routerek TP-LINK TL-WR340GD wireless masinák, a szerver Wampserver, Windows XP-n, a klienseken is Win XP fut. A szerveren egy PHP-s weboldal van ami MYSQL adatbázist használ (olvas és ír).
A cél az hogy a hálózat összes gépe elérje a weboldalt egy fix IP címen, ami olyan cím amit a többiek nem állíthatnak be maguknak, hogy ne legyen IP ütközés.

Ezen felül az internetet is el kéne érnie az összes gépnek, az viszont nem fontos hogy a szerver az internetről is elérhető legyen. (persze ha onnan is megy, az nem probléma... jelenleg is be van állítva forwarding a routerben)

Jeleneg 1 router van használatban, a szerver elérhető, a weboldal működik minden gépen, és az internet is elérhető, viszont nincs biztosítva hogy senki ne állíthassa be ugyanazt az IP-t ezzel akadájozva a hozzáférést a szerverhez.

Ha van még valami amit tudni kéne szóljatok.
7

Nem ez a probléma

janoszen · 2010. Feb. 10. (Sze), 13.23
Nem érted a problémát. A webszervernek a default gatewaye a netes routered lesz, tehát az a legegyszerűbb, ha beállítasz hálózati címfordítást (NAT) a belső routeren. Ha nem így teszel, nagyságrendekkel bonyolultabb a probléma.

Ami a segítést illeti, próbálkozz meg először egyedül, majd ha nem megy, hálózati rajzzal, IP címekkel fölfegyverkezve kérdezz.
8

DoS és VPN

vbence · 2010. Feb. 10. (Sze), 13.38
Kérdés, hogy milyen természetű támadások ellen szeretnél védelmet élvezni: Érdekeltek-e a dolgozók a rendzser buherálásában (pl ez számolja el a bent töltött óráikat stb), vagy csak szimplán egy véletlen vagy rosszindulatú DoS-től szeretnéd magad megkímélni.

A szerver lehet külön subneten, a routolás beállítása sem olyan nagy durranás, ahogy egyesek lefestik ;) (Egy délután alatt feszedheted a legfonosabb dolgokat). De ekkor is fennáll az a veszély, hogy a router IP címét állítja be valaki, és kész a DoS.

Ugyanez igaz alacsonyabb szinten is, elég ha vesz egy USB-s ethernet adaptert valaki, a legtöbb esetben tetszőleges MAC címet is állíthat a kártyájának, tehát a MAC alapú IP hozzárendelés (plusz tűzfal) sem megoldás.

Ami működhet az egy VPN lehet, ahol mindenki azonosítja magát még mielőtt része lenne a hálózatnak. Használhatsz egy Tomato kompatibilis routert (vagy más 3d party firmware-t), amire telepíthető OpenVPN. Vagy akár a szervergépedre is felrakhatod.

Az ellen, hogy az adott szegmenst valaki megbénítsa (IP vagy MAC űtközés) nem sokat tehetsz, de egy VPN-en legalább az adatok biztonsága megoldott (nem tetteheti magát senki a szervernek).
9

oké...

engineer · 2010. Feb. 10. (Sze), 17.20
... úgy látom félreértettem valamit, az első pár hozzászólás után fellelkesedtem, mert azt hittem könnyen megoldható a probléma.
IP címekkel fölfegyverkezve? Mint írtam nem igazán értem ezeket a gateway, DNS meg alhálózati maszk beállításokat, és nagyon nem szeretném elrontani azt ami már most működik. A jelenlegi értékeket meg tudom mondani, de nem tudom miért lényeges.
Hálózati rajzot miről kéne készítenem? A jelenlegi hálózat 1 routerből, 1 szerverből meg egy néhány WiFis kliensből áll, ahol mindenki a routerhez kapcsolódik.
Azt amit szeretnék nem tudom lerajzolni, mert nem tudom hogy kell kinéznie.
Csak az IP ütközésre szerettem volna megoldást, de az is megfelel ha valaki ide írja nekem hogy hagyd, ezt nem lehet ilyen egyszerűen megoldani...

Egyébként nem megvédeni akarom a szervert, mert azt megoldom még valahogy, csak az állandó elérhetőséget szeretném biztosítani anélkül hogy tartanom kéne a más hibájából bekövetkező IP ütközéstől.

Azért köszönöm a válaszokat.
10

Ebben az esetben

Endyl · 2010. Feb. 10. (Sze), 18.49
Ha jól értem, úgymond "otthoni hálózat", és a véletlen IP kiosztást szeretnéd elkerülni.

Ha igen, és senki nem fog ellened hackelni szándékosan, akkor MAC cím alapján ossz ki állandó IP címeket, de legalább a szervernek; TP-LINK-en ez elég egyszerű, nekem is az van itthon, és áramszünet vagy kábelhuzogatás miatt még egyszer sem állítódott el :)
11

user controll

eashlon · 2010. Feb. 10. (Sze), 22.39
Azt, hogy a kliensnél ülő felhasználód szándékosan ugyanarra az IP-re állítja magát manuálisan, mint a szervered, csak hogy téged megvicceljen igen komoly feladat szoftveresen kivédeni. Asszem elöl úgy írtam, hogy a neked kellő primitív megoldás nemigazán létezik.
Javasolt módszer: közöld mindenkivel, hogy nem jó vicc, és csak magukkal csesznek ki de nagyon, mert morcos típus vagy az ilyesmire, és nem járnak jól, ha felidegelnek vele...
12

Hagyd

janoszen · 2010. Feb. 10. (Sze), 22.59
Szerintem, ha ennyire nem rendelkezel hálózati ismeretekkel, akkor ez nem az a projekt, amit közösségi segítséggel önjáró módon meg tudsz oldani. Javaslom alapos tanulmányozásra Petrényi József TCP/IP Alapok ebookját. Kicsit mélyebben foglalkozik a témával, mint amire szükséged van, ellenben olvasmányos és hasznos tudást ad át.

Ha mégis belevágnál, akkor itt a howto. Mentsd le a configodat, nehogy aztán két szék közt a pad alatt köss ki.
  • Nevezzük a két routert külsőnek és belsőnek, valamit a hálózatokat is megfelelően.
  • A belső router WAN (Internet) lábát bedugod a külső router LAN portjainak egyikébe egy sima (tehát nem crosslink) kábellel.
  • A külső router egy másik LAN portjába dugod a szervert.
  • A külső router belső (LAN) hálózati lábát fölkonfigurálod a 192.168.1.1-es IP címre, a WIFI-t kikapcsolod rajta és megadot DHCP tartománynak a 192.168.1.2-192.168.1.50-et.
  • A külső router internet beállításainál beállítod a szolgáltatódtól kapott adatokat.
  • A belső routeren fölkonfigurálod a 192.168.2.1-es IP-t 255.255.255.0-s hálózati maszkkal.
  • A belső router DHCP tartományának megadod a 192.168.2.2-192.168.2.200-at.
  • A belső router "Internet" opcióját DHCP-re vagy static IP-re állítod.
  • Ha static IP-re állítottad: kiosztod neki mondjuk a 192.168.1.2-es IP-t 255.255.255.0 maszkkal, default gateway és DNS szerver legyen a 192.168.1.1
  • A szerverre fölhúzol egy olyan IP-t a 192.168.1.0/24 tartományból, ami a fentiekkel nem ütközik. Legyen mondjuk a 100-as.
  • traceroute és ping parancsokkal ellenőrzöd a két hálózatot minden oldalról.


Azt gyorsan hozzáteszem, hogy ez senkit nem akadályoz meg semmiben, ha tényleg rosszindulatú. Pl egy ARP spooffal simán behazudhatja magát a router helyett, majd továbbíthatja afelé a forgalmat.
13

köszönöm...

engineer · 2010. Feb. 11. (Cs), 09.31
... a howtwo-t, szerintem elég lesz. Nem feltételezem egyenlőre hogy a rosszindulatú kliens még ért is ahhoz amit csinál. Ha ez a megoldás kiszűri hogy simán beállítsák a szerver IP címét, az nekem teljesen megfelel.
Köszi az e-bookot is, át fogom tanulmányozni.

Ha már belemásztam a routerbe, még 1 kérdés:
A DHCP beállításainál van egy olyan hogy default domain. Ez mit takar?