User Tools
использовать_чужой_ip_адрес_в_сети
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
использовать_чужой_ip_адрес_в_сети [2026/04/28 21:43] val |
использовать_чужой_ip_адрес_в_сети [2026/05/15 13:46] (current) val |
||
|---|---|---|---|
| Line 19: | Line 19: | ||
| ===== Шаг 1. Что у нас есть, для начала ===== | ===== Шаг 1. Что у нас есть, для начала ===== | ||
| - | * [[Сети Cisco и Linux у Вас дома]] (убрать маршрут в LAN на gate.isp.un) | + | * [[Сети Cisco и Linux у Вас дома]] (cisco router, cisco switch, ubuntu26 server, win10 clientN) |
| - | ===== Черновик ===== | + | ===== Шаг 2. Подготовка к новому сценарию ===== |
| - | Сценарий: | + | * Убираем маршрут в LAN на gate.isp.un или можно его выключить и подключить cisco router через "мост" с ip адресом через домашний dhcp |
| + | * Добавляем NAT на Cisco Router | ||
| + | * Добавляем "злоумышленника" - linux client1, устанавливаем arp-scan, добавляем [[Настройка сети в Linux#Использование NetworkManager]] (понадобится после "перевоспитания" для настроек PPPoE и EAP подключений) | ||
| + | ===== Шаг 3. Настраиваем авторизованный доступ в Интернет через Captive Portal ===== | ||
| - | * Добавляем linux client1, устанавливаем arp-scan | + | * [[Сервис FreeRADIUS]] на server |
| * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal, [[Пакет OpenSSL#Создание самоподписанного сертификата]] wild сертификата, импортируем на windows (на linux не обязательно он будет "подделывать" адрес), открываем доступ в инет для server | * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal, [[Пакет OpenSSL#Создание самоподписанного сертификата]] wild сертификата, импортируем на windows (на linux не обязательно он будет "подделывать" адрес), открываем доступ в инет для server | ||
| * Подключемся к Internet через win win clientN | * Подключемся к Internet через win win clientN | ||
| Line 33: | Line 36: | ||
| * На client1, используя [[Настройка сети в Linux#Команды для диагностики]], выясняем IP/MAC clientN и с помощью [[Настройка сети в Linux#Настройка параметров с использованием утилиты ip]] отключаем dhcp, заменяем сначала IP, смотрим журналы на server и pfsense, а потом и MAC (добавляем dns в resolv.conf) | * На client1, используя [[Настройка сети в Linux#Команды для диагностики]], выясняем IP/MAC clientN и с помощью [[Настройка сети в Linux#Настройка параметров с использованием утилиты ip]] отключаем dhcp, заменяем сначала IP, смотрим журналы на server и pfsense, а потом и MAC (добавляем dns в resolv.conf) | ||
| * Смотрим сообщения на server и [[Оборудование уровня 2 Cisco Catalyst#Просмотр таблицы mac адресов]] Cisco Catalyst (записать вебинар про анализ журналов в zabbix) | * Смотрим сообщения на server и [[Оборудование уровня 2 Cisco Catalyst#Просмотр таблицы mac адресов]] Cisco Catalyst (записать вебинар про анализ журналов в zabbix) | ||
| + | <code> | ||
| + | Apr 29 08:17:54 192.168.32.91 118: Apr 29 08:17:53: %SW_MATM-4-MACFLAP_NOTIF: Host 00e0.fc09.bcf9 in vlan 456 is flapping between port Gi1/0/4 and port Gi1/0/3 | ||
| + | </code> | ||
| * "Ужасаемся", скачивая WireShark на win client и "серфя" интернет на lin client | * "Ужасаемся", скачивая WireShark на win client и "серфя" интернет на lin client | ||
| * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC перестает работать, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst. Плохая новость - может и работать, Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что не мешает использовать ее IP/MAC | * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC перестает работать, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst. Плохая новость - может и работать, Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что не мешает использовать ее IP/MAC | ||
| - | * Возвращаем "проводную сеть" (cisco switch) и linux gate | + | ===== Шаг 3. Настраиваем авторизованный доступ в Интернет через PPPoE ===== |
| + | |||
| + | * Возвращаем "проводную сеть" (cisco switch) | ||
| + | * Заменяем pfSense на linux gate | ||
| * [[Сервис PPPoE]] | * [[Сервис PPPoE]] | ||
| * Пробуем подделать IP на lin client1 | * Пробуем подделать IP на lin client1 | ||
| - | * Возвращаем "wifi", cisco router, настраиваем 802.1х, | + | ===== Шаг 4. Настраиваем авторизованный доступ в LAN через 802.1х ===== |
| + | |||
| + | * Возвращаем "wifi", [[Оборудование уровня 3 Cisco Router]] с NAT, настраиваем [[Оборудование уровня 2 Cisco Catalyst]] с 802.1х, добавляем в DNS и клиенты raduis сервера | ||
| + | |||
| + | ===== Черновик ===== | ||
| * не попало в сценарий DHCP [[Сервис DHCP#Сообщение от клиента, что кто-то уже занял IP]] | * не попало в сценарий DHCP [[Сервис DHCP#Сообщение от клиента, что кто-то уже занял IP]] | ||
| + | |||
| + | ===== Шаблоны конфигураций ===== | ||
| + | |||
| + | ==== Router ==== | ||
| + | <code> | ||
| + | hostname router | ||
| + | |||
| + | interface FastEthernet1/0 | ||
| + | description connection to LAN | ||
| + | ip address 192.168.15.1 255.255.255.0 | ||
| + | no shutdown | ||
| + | ! | ||
| + | interface FastEthernet1/1 | ||
| + | description connection to ISP | ||
| + | ip address 172.16.1.15 255.255.255.0 | ||
| + | no shutdown | ||
| + | |||
| + | ip route 0.0.0.0 0.0.0.0 172.16.1.254 | ||
| + | |||
| + | ip dhcp excluded-address 192.168.15.1 192.168.15.100 | ||
| + | ip dhcp excluded-address 192.168.15.110 192.168.15.254 | ||
| + | |||
| + | ip dhcp pool LAN | ||
| + | network 192.168.15.0 255.255.255.0 | ||
| + | default-router 192.168.15.1 | ||
| + | dns-server 192.168.15.10 | ||
| + | domain-name corp15.un | ||
| + | lease 0 10 0 | ||
| + | |||
| + | ip access-list standard ACL_NAT | ||
| + | permit 192.168.15.0 0.0.0.255 | ||
| + | deny any | ||
| + | |||
| + | ip nat inside source list ACL_NAT interface FastEthernet1/1 overload | ||
| + | |||
| + | interface FastEthernet1/0 | ||
| + | ip nat inside | ||
| + | |||
| + | interface FastEthernet1/1 | ||
| + | ip nat outside | ||
| + | </code> | ||
| + | |||
| + | ==== Switch ==== | ||
| + | <code> | ||
| + | hostname switch | ||
| + | |||
| + | interface VLAN1 | ||
| + | ip address 192.168.15.3 255.255.255.0 | ||
| + | |||
| + | no ip domain lookup | ||
| + | ip host server 192.168.15.10 | ||
| + | |||
| + | aaa new-model | ||
| + | aaa authentication login CONSOLE none | ||
| + | aaa authorization exec CONSOLE none | ||
| + | enable secret cisco | ||
| + | |||
| + | aaa authorization console | ||
| + | line con 0 | ||
| + | login authentication CONSOLE | ||
| + | authorization exec CONSOLE | ||
| + | privilege level 15 | ||
| + | |||
| + | radius-server host server auth-port 1812 acct-port 1813 | ||
| + | |||
| + | radius-server key testing123 | ||
| + | |||
| + | aaa authentication login default group radius enable | ||
| + | |||
| + | aaa authentication dot1x default group radius | ||
| + | </code> | ||
использовать_чужой_ip_адрес_в_сети.1777401804.txt.gz · Last modified: 2026/04/28 21:43 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
