@anonymous В чём смысл? Если это что-то особое - интересно знать что.
А если просто так, и любой может получить айпишник, для чего защита от статических адресов? Зная пулл, любой мамкин хацкер можеть загадить сеть.
@lord Периодически какие-то произвольные мудаки коннектятся к моей уютной домашней точке со своими статическими ip и иногда происходят КОЛЛИЗИИ с моими соседями (многие из которых сидят через мой открытый wi-fi лул). Хочется не пускать в сеть произвольных мудаков со статическим ip.
— И как же ты отличишь пакеты с «правильным» IP от пакетов с «неправильным», если он такой же? — Наверно, по MAC-адресу как-нибудь. — … — Какой же я идиот!
Почитай про captive portal — и в проблеме разберёшься, и логично сделаешь.
@anonymous >Периодически какие-то произвольные мудаки коннектятся к моей уютной домашней точке со своими статическими ip
Что мешает им продолжать так делать, используя уже завайтлищенные айпишники?
@lexszero а у меня и нет цели защититься от ололо хакиров, которые зачем-то хотят устроить коллизию. Потому что это нахуй никому не нужно. Нужно защититься от случайных коллизий из-за статического ойпи для подключения к другой сети на сферическом андроеде.
@anonymous В первую очередь для теоретической подготовки, тема известная, годных мануалов должно быть полно, чтобы понять, что вообще делается. Сейчас вот ты думаешь, что роутер может как-то повлиять на возможность клиенту выбрать IP-адрес, уже присвоенный другому. А прочитаешь — поймёшь, что нужен всего-лишь какой-нибудь arpwatch, чтобы при появлении нового MAC'а у старого IP заносить его в drop-лист. При выдаче правильному пользователю по DHCP должна происходить проверка присутствия, так что «вторыми» те никогда не станут. Остаётся разобраться с временем протухания данных у arpwatch, dhcpd и в таблице ARP, чтобы повторная выдача не приводила к ложному срабатыванию. Такая техника поможет закрыть доступ вовне через роутер, но не помешает выбрать уже имеющийся в сети IP-адрес и мешать другим членам той же подсети, если точка доступа не переведена в изолирующий режим (передача данных на втором уровне между клиентами блокируется). Дальше понадобится настроить передачу пакетов через роутер, либо поставив всем подсеть /32, либо с помощью ARP-proxy. P. S. У тебя подсеть вида 192.168.x.0/24, где x не равен 0 или 1, Wi-Fi без шифрования и «случайно» появляются коллизии? Поздравляю, даже кулхацкер Вася, пользующийся говёнными статьями десятилетней давности, смог спиздить вконтактики твоих друзяшек. Не лечи симптомы, лечи проблему.
@ceyt А потом, когда ты всё это проделаешь, тебе устроят DOS на количество записей в списке блокировки, перебрав стопицот маков, из-за этого ты наконец почешешься и включишь WPA2 со сложным паролем. К сожалению, в твоей точке доступа будет херовая реализация WPS, и придётся её менять… Вывод: покупай сразу стойку с оборудованием на три штуки баксов и красноглазика на круглосуточный мониторинг впридачу.
— И как же ты отличишь пакеты с «правильным» IP от пакетов с «неправильным», если он такой же?
— Наверно, по MAC-адресу как-нибудь.
— …
— Какой же я идиот!
Почитай про captive portal — и в проблеме разберёшься, и логично сделаешь.
@anonymous В первую очередь для теоретической подготовки, тема известная, годных мануалов должно быть полно, чтобы понять, что вообще делается. Сейчас вот ты думаешь, что роутер может как-то повлиять на возможность клиенту выбрать IP-адрес, уже присвоенный другому.
А прочитаешь — поймёшь, что нужен всего-лишь какой-нибудь arpwatch, чтобы при появлении нового MAC'а у старого IP заносить его в drop-лист. При выдаче правильному пользователю по DHCP должна происходить проверка присутствия, так что «вторыми» те никогда не станут. Остаётся разобраться с временем протухания данных у arpwatch, dhcpd и в таблице ARP, чтобы повторная выдача не приводила к ложному срабатыванию. Такая техника поможет закрыть доступ вовне через роутер, но не помешает выбрать уже имеющийся в сети IP-адрес и мешать другим членам той же подсети, если точка доступа не переведена в изолирующий режим (передача данных на втором уровне между клиентами блокируется). Дальше понадобится настроить передачу пакетов через роутер, либо поставив всем подсеть /32, либо с помощью ARP-proxy.
P. S. У тебя подсеть вида 192.168.x.0/24, где x не равен 0 или 1, Wi-Fi без шифрования и «случайно» появляются коллизии? Поздравляю, даже кулхацкер Вася, пользующийся говёнными статьями десятилетней давности, смог спиздить вконтактики твоих друзяшек. Не лечи симптомы, лечи проблему.
@ceyt А потом, когда ты всё это проделаешь, тебе устроят DOS на количество записей в списке блокировки, перебрав стопицот маков, из-за этого ты наконец почешешься и включишь WPA2 со сложным паролем. К сожалению, в твоей точке доступа будет херовая реализация WPS, и придётся её менять…
Вывод: покупай сразу стойку с оборудованием на три штуки баксов и красноглазика на круглосуточный мониторинг впридачу.