Blokování podle MAC

Založil moon, Červen 05, 2013, 10:42:52 DOPOLEDNE

« předchozí - další »

moon

Zdravím!

Jsem připojený přes LAN Nezvala (moje gateway je Node Vašíčkova) a všiml jsem si, že nedávno někdo znovuzprovoznil filtrování přístupu podle MAC adres. Problém je ale v tom, že uživatel se špatně vyplněnou MAC v ISu (totiž já 8)) se nedostane nikam – ani do toho ISu, aby si ji mohl změnit. ;) DNS server na všechny požadavky hází ,,Host is.klfree.net not found: 5(REFUSED)" a spojení jsou na GW zahazována.

Dřív (před lety, než u nás bylo filtrování vypnuto) se uživatel dozvěděl o problému tím, že HTTP požadavky byly přesměrovávány na IS s chybovou hláškou. Nešlo by to obnovit?

Díky!

EDIT: Koukám, že problém je asi ještě někde jinde. V ISu mám totiž nastavenou MAC adresu současného routeru, tedy tu správnou. Net přesto nejede, dokud ji na zařízení nepřepíšu na MAC starého počítače, se kterým jsem v Klfree začínal. ???

circa

Jsem zvědav, jestli se dočkáš alespoň nějaké odpovědi.  :D :D :D
Lejem CIRCA!

moon

To já taky. :) Ale net mi funguje, takže to moc neřeším, i když je to divné.

skudlik

Ahoj,

obcas to tu i nekdo cte :) .. a kdyz ma cas, tak i odpovi.

Nevim o tom, ze by se nekde na klasickych LANkach automaticky filtrovalo primo takhle podle MAC. Je samozrejme mozne, ze se muzu plest (obcas nekdo vymysli nejakou hezkou ujetost a nepochlubi se s tim, ze ji nastavil), ale minimalne na routeru vasickova ani zainteresovanych switchich jsem nic takoveho neobjevil. Blokace pristupu (a presmerovani do IS) probiha ciste na urovni povolene/nepovolene IP adresy, ze ktere se snazis dostat ven do netu. MAC na to ma vetsinou vliv pouze zprostredkovane tim, kdyz pouzivas DHCP pro ziskani IP v ramci klfree. Router (vasickova) by pak priradil nezname MAC adrese blokovanou IP a nasledne zafunguje presmerovani do IS. Tim ze podle vseho neziskavas IP z DHCP, ale mas ji na routeru nastavenou staticky, tak by se tohle nemelo vubec projevit.

Z toho co jsi zatim napsal, tak tezko odhadovat kde je chyba. Napada me vicero moznosti - nejaka chyba domaciho routriku, duplicitni mac na siti (nekdo si mohl (ne)umyslne nastavit stejnou adresu a dochazelo ke kolizim) ... po zmene mac uz to bylo v poradku. Pripadne docasna blokace nekterym ze spravcu primo na urovni MAC napr. z duvodu zahlcovani site zavirovanym PC (v soucasne chvili na routeru ale nic takoveho neni a pokud by nekdo neco takoveho udelal, tak bych predpokladal, ze o tom da "hrisnikovi" nejakym zpusobem vedet.).

moon

V první řadě díky za odpověď!

Já mám pocit, že když jsem se stal členem, filtrování podle MAC tu bylo, ale poměrně brzy bylo zrušeno. Můžu se ale mýlit, nikdy jsem se v tom moc nešťoural. :) Statickou IP mám proto, že router je poněkud tupý – nebo spíš zabugovaný – nedokáže si přiřazenou IP i přes vysoký lease-time dlouhodobě zapamatovat a pak za prvé neustále broadcastuje, což by lidem na LANce mohlo vadit a za druhé se každou chvíli přeruší všechna spojení. Z toho důvodu bug v routeru nevylučuji, ale dlouhou dobu (několik let) to fungovalo a nic jsem neměnil. Problém vyřešila právě až změna konfigurace.

To, že se do ISu přesměrovává pouze z neznámých IP, vysvětluje, proč se mi IS neobjevil, když je moje IP známá a správná. Už to ale nevysvětluje, proč mi KlFreečkové DNS (10.102.0.252 – takže místní AP) odpovídalo na dotazy odmítnutím. V tom může mít router prsty jenom těžko.

Ale – jak už jsem psal – všechno mi funguje a spolehlivě běží, takže se v tom nebudu moc rýpat.

skudlik

Citace: moon kdy Červen 26, 2013, 10:41:28 ODPOLEDNE
V první řadě díky za odpověď!
:) nz. Vzhledem k tomu, ze se tu frekvence prispevku snizila cca na 1/ mesic, tak i moje navsteva fora klesla cca na tuhle hodnotu .. Driv jsem to tu prohlizel poctivejc.

Citace: moon kdy Červen 26, 2013, 10:41:28 ODPOLEDNE
Už to ale nevysvětluje, proč mi KlFreečkové DNS (10.102.0.252 – takže místní AP) odpovídalo na dotazy odmítnutím. V tom může mít router prsty jenom těžko.
No tady je otazkou, jestli tak odpovidala skutecne "az" dnska. Coz si osobne nemyslim (a pokud ano, tak to taky mohla byt taky jen shoda nahod a nejaky problem s DNS, protoze hloupe dnsmasq co bezi na routru jen tak neco neodmitne) . Stejne by se to asi chovalo i v pripade, ze by nekdo hodil na routru (vasickove) pravidlo, aby vsecko z tve mac rejectoval. Mozna i v pripade, kdyz by domaci routrik "haluzil" a provadel nejake silenosti (a taktez odmital vsecko co by pres nej melo jet ven). (Bylo by zajimave vedet, jestli v dobe problemu reagovala 10.102.0.252 na ping...)

moon

Citace: skudlik kdy Červen 27, 2013, 06:45:14 DOPOLEDNE
:) nz. Vzhledem k tomu, ze se tu frekvence prispevku snizila cca na 1/ mesic, tak i moje navsteva fora klesla cca na tuhle hodnotu .. Driv jsem to tu prohlizel poctivejc.
Aspoň je vidět, že to všem pořád funguje. :) Já ale využívám RSS, když už tu je.

Citace: skudlik kdy Červen 27, 2013, 06:45:14 DOPOLEDNE
No tady je otazkou, jestli tak odpovidala skutecne "az" dnska. Coz si osobne nemyslim (a pokud ano, tak to taky mohla byt taky jen shoda nahod a nejaky problem s DNS, protoze hloupe dnsmasq co bezi na routru jen tak neco neodmitne) . Stejne by se to asi chovalo i v pripade, ze by nekdo hodil na routru (vasickove) pravidlo, aby vsecko z tve mac rejectoval. Mozna i v pripade, kdyz by domaci routrik "haluzil" a provadel nejake silenosti (a taktez odmital vsecko co by pres nej melo jet ven).
To si nemyslím – kdyby se ty dotazy někde zahazovaly, tak by to přece timeoutovalo a nepřicházely by odpovědi s errorem. Bohužel mě v tu chvíli nenapadlo podstrčit hostu nějaký verbose flag, třeba bych se dozvěděl víc.

Citace: skudlik kdy Červen 27, 2013, 06:45:14 DOPOLEDNE
(Bylo by zajimave vedet, jestli v dobe problemu reagovala 10.102.0.252 na ping...)
To už si přesně nepamatuju, ale mám pocit, že pingnout se z mého okolí daly jenom 10.102.0.252 a 10.102.45.1 (gateway) – což jsou, jestli jsem to dobře pochopil, dvě adresy jednoho stroje. Neznám skoro žádnou IP z okolí a bez DNS jsem se ji nemohl dozvědět, zkoušel jsem 10.102.32.209 – další hop na cestě ven – a 8.8.8.8 – Googlí DNS s pěknou adresou. Ale nejsem si moc jistý a možná si to pletu s nějakým výpadkem sítě, kterých tu vzhledem k počasí a výpadkům elektřiny v poslední době pár bylo.

skudlik

Citace: moon kdy Červen 28, 2013, 12:33:38 ODPOLEDNE
To si nemyslím – kdyby se ty dotazy někde zahazovaly, tak by to přece timeoutovalo a nepřicházely by odpovědi s errorem. Bohužel mě v tu chvíli nenapadlo podstrčit hostu nějaký verbose flag, třeba bych se dozvěděl víc.
Pokud by se zahazavaly, tak jo, .. pokud rejectovaly (s prislusnym icmp), tak to nejspis vrati connection refused.