# adresy IP w sieci

## msch

Mam sobie siec 192.168.0.0/255.255.255.0, adresy sa przydzielane dynamicznie (zakres .0.11 do .0.25) - uzywam dnsmasq. Ale jak sobie na jakims komputerze z lapy wpisze ip np 192.168.0.100/255.255.255.0 brama 192.168.0.1 to mam z niego dostep do internetu i do sieci i wogole. Jak takie cos zablokowac?

----------

## bartmarian

np:

```
iptables -A FORWARD -s 192.168.0.X -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
```

mozesz tez dodac:

```
iptables -t nat -A PREROUTING -i ethPRV -p tcp -s 192.168.0.X/24 --dport 80 -j DNAT --to ip.rou.ter.ka:80
```

i ustawic na swoim apache stronke z "spieprzaj dziadu"  :Very Happy: 

--edit--

to oczywiscie nie obroni Cie przed zmiana MAC przez kogos i dostaniu sie do sieci,

za to odrobinke utrudni... odrobinke... (po "spieprzaj dziadu" bardzo prawdopodobne)

----------

## msch

czyli generalnie bym musial dla 25 kompow wprowadzic 25 regulek? ee... moze jest jakis prostszy sposob?  :Smile: 

----------

## bartmarian

to naprawde jest prosty sposob, latwy do obejscia, chcesz pewniejszy... pppoe-server...

----------

## lsdudi

jest dużo łatwiejszy ale nie w pełni użyteczny

maska: 255.255.255.244

adres sieci:192.168.0.0/27

broadcast 192.168.0.31

gdzie masz 30 adresów od 1-30

a tobie potrzebne jest 25 wiec pięć ci zostanie

dzięki raku za poprawienie

----------

## Raku

 *lsdudi wrote:*   

> jest dużo łatwiejszy ale nie w pełni użyteczny
> 
> maska: 255.255.255.248
> 
> adres sieci:192.168.0.0/29
> ...

 

Rozumiem, że chodziło ci o maskę /27 (255.255.255.224).

Podana przez ciebie maska pozwala na utworzenie sieci ośmioadresowej (192.168.0.0-7)

----------

## bartmarian

jezeli w temacie chodzi o "zabezpieczenie" sieci przed wpisaniem sobie

adresu IP i bramy z lapki, to ja nie rozumiem co ma do tego rozmiar podsieci,

zadne to zabezpieczenie, zupelnie przed niczym, sadze natomiast, ze

wpisanie kilkunastu regolek zajmie rownie malo czasu co zmiana rozmiaru

podsieci a roznica bedzie taka, ze cokolwiek to da   :Wink: 

----------

## prymitive

Co prawda to sporo pracy ale możesz postawić chillispot, wtedy żeby komp z sieci miał dostęp do netu najpierw musi sie zalogować, tzn. jak spróbuje otworzyć jakąś stronę to w przeglądarce przekieruje go do strony logowania, chillispot pozwala też logować dokładną ilość przesyłanych danych.

http://gentoo-wiki.com/HOWTO_Chillispot_with_FreeRadius_and_MySQL

----------

## lsdudi

 *bartmarian wrote:*   

> jezeli w temacie chodzi o "zabezpieczenie" sieci przed wpisaniem sobie
> 
> adresu IP i bramy z lapki, to ja nie rozumiem co ma do tego rozmiar podsieci,
> 
> zadne to zabezpieczenie, zupelnie przed niczym, sadze natomiast, ze
> ...

 

oba sposoby sa tylko po to żeby zatrzymać lamę bo osoba znająca się na rzeczy sobie poradzi;] 

msh zapytał czy jest prostszy sposób na ograniczenie dostępu. Właśnie po to zostało stworzone adresowanie bezklasowe zamist 218 adresów wolnych ma teraz tylko 5. Bezpieczeństwo tego jest prawie żadne ale lamę zatrzyma

Oczywiście zmiany na firewallu są lepszym sposobem ale nie jest to złoty środek!

----------

