sslug-teknik team mailing list archive

[storner@xxxxxxxx]

In <36F7B7BE.99BECC79@xxxxxxxxxxx> S Stomper <socool_hot@xxxxxxxxxxx> writes:

>På et kollegie skal vi have trukket netværksstik ud til alle beboerne,
>således at alle kan bruge internet. [snip]
>Vi har tænkt os at investere i en enkelt kraftig server som skal køre
>linux, og fungere som router, email, webserver osv. Vi kommer nok til at
>bruge masquerading da jeg ikke tror vi får en ip-pool. Der er ialt ca
>250 brugere.

>Vores problem består i at det er blevet vedtaget at det kun er dem der
>ønsker at tilmelde sig som kommer til at betale. Det er derfor vigtigt
>at man på ingen måde kan få internet adgang uden først at blive
>verificeret af serveren.

>Kan man bruge DHCP sådan at man skal verificere sig før man får tildelt
>en ip, og sådan at det kun er de adresser der er uddelt af dhcp serveren
>der har hul igennem til internet.

Ja og nej - og det er administrativt besværligt. 

Man kan konfigurere DHCP serveren til at den bruger Ethernet-kortets 
MAC adresse til at afgøre hvilken IP adresse den skal tildele PC'en.
Så sørger du for, at der er lavet masquerading regler som kun tillader
de godkendte IP adresser at komme igennem.

Det forhindrer dog ikke nogen i at "snuppe" en godkendt IP adresse
(f.eks. ved at bruge tcpdump på nettet), konfigurere sit eget netkort
til at have en af de godkendte adresser, og så køre løs. Han skal blot
passe på ikke at have maskinen tændt samtidig med den person, hvis
IP adresse han har snuppet.

>Eller endnu bedre : Kan man sørge for at reservere en række adresser som
>har adgang gennem routeren ,som man ikke selv kan tildele sig. 

Nix. Du kan altid give dit netkort en vilkårlig IP adresse.

Jeg kiggede på det samme problem for 1½ års tid siden, og kunne kun finde
een helt sikker løsning: Afbryd den fysiske netværks-forbindelse i
krydsfeltet. Jeg formoder, at I vil installere PDS kabling, som så
havner i et krydsfelt hvor der så videre forbindes til en hub eller
switch (det er efterhånden ret normalt - coax-kabel er ikke længere
så spændende). I så fald kan man simpelt hen nøjes med at forbinde
de brugere i krydsfeltet, som har betalt for adgang til netværket - 
det er i al fald helt sikkert, så længe der ikke er nogen som bryder
ind i krydsfelt-skabet.

Og jeg tror ikke det giver mere administration end den anden løsning.

En tredje mulighed er at I bruger intelligente hubs/switches, hvor man
f.eks. via SNMP kan åbne og lukke for individuelle porte. Det svarer
til at afbryde den fysiske forbindelse, men man kan altså gøre det 
fra sin egen PC og skal ikke rende ned og flytte kabler. Men det er
langt fra alle hubs, der har den mulighed - og de er som regel noget
dyrere end de almindelige.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."