- lms - lists.lms.org.pl

Re: sposob na cwaniaka
by brzoza 10 Maj '06

10 Maj '06

Dariusz Kowalczyk napisał(a): > On Tue, 09 May 2006 13:34:25 +0200, brzoza wrote > >> witak >> tak btw >> czy ktos moze podrzucic na liste link do dobrego howto do radiusa? >> >> pozdr >> brzoza >> > > tak naprawde to radius tak groznie tylko wyglada ale w konfiguracji jest banalny ... > > mimo wielu plikow jakie znajduja sie w katalogu /etc/raddb tak naprawde do > wystartowane z radiusem (w prostej konfiguracji przy autentukacji po mac adresach) > potrzebne sa tylko: > > ---------------clients.conf----------------------------- > w tym pliku wpisuje urzadzenia NAS sie acces pointy i np switche ktore beda korzystac > z bazy radiusa > > przykladowo wystarczy wpisac jak sie ma tylko jedna stacje bazowa > pierwszy te adres ip AP potem haslo i jego latwa do zapamietania nazwa (przyda sie do > sledzenie aktywnosci w logach) > > client 192.168.1.100 { > secret = sciscletajnehaslo > shortname = MOJAP > } > wpis nalezy powtorzyc dla kazdego ap > > drugi pli ktory nalezy zmodyfikowac to > > --------users----------- > > wpisujac tam poszczegolne urzadzenia ktore maja byc uwierzytelniane w radiusie > > #klient1 > "xxxxxxxxxxxx" Auth-Type :=Local, User-Password == "xxxxxxxxxxxx" > Service-Type = Outbound-User > > te iksy to mac adres klienta > > niektore ap jak np AP600 potrzebuja zeby ten wpis wygladal tak > > "xxxxxxxxxxxx" Auth-Type :=Local, User-Password == "sciscletajnehaslo" > Service-Type = Outbound-User > wpisy nalezy powtorzyc dla kazdego urzadzenia/klienta ktory ma byc autoryzowany w > radiusie i to wszsytko trzeba restartnac raduisa i tyle, oczywiscie trzeba ap > skonfigurowac do tego zeby korzystal z radiusa a nie ze swojej wewnetrzen listy mac > adresow ale to jest takze porste bo podaje sie tylko adres ip serwera radius port 1812 > i haslo > > mozna i grzebac w radius.conf ale z reguly nie ma potrzeby > > plik users mooze tworzyc jakis skrypt z lms-a mozna tez includowac dowolny plik > tworzony prez lms-a w tym celu w pliku users > trzeba wpisac > > $INCLUDE nazwapliku > > w ten sposob ma sie pewnosc ze eksperymentuja nie nadpiszemy sobie pliku > konfiguracyjnego > > > to jest bardzo prosta konfiguracja ake dzialajaca jak ktos che wiecej wycisnac z > radiusa np segmentacje sieci i przypisywanie klientow do okreslonych stacji bazowych > czy autentykacje z wykorzystaniem np eap i innych czy tez integracje radiusa z baza > danych to musi sie troche bardziej postarac ale na poczatek przygody z radiusem to > zupelnie wystarczy > > pozdrawiam > Dariusz Kowalczyk > > dzieki wielkie pozdr brzoza

1 0

Re: problem z lms-squid
by w0lf 10 Maj '06

10 Maj '06

mam ten sam problem tylko ze nie działą mi od poczatku ; )) odrazu wyskakuje zebym sie skontaktowal z biorem obsługi ----- Original Message ----- From: "Andy F." <fox2man(a)tenbit.pl> To: <lms(a)lists.rulez.pl> Sent: Monday, February 27, 2006 9:46 PM Subject: [lms] problem z lms-squid > witam! > > mam taki problem: do tej pory dzialalo wszystko ok... ale przestalo. > mam zrobione wiadomosci adminstracyjne za pomoca lms-squid. gdy wlacze > jakiemus klientowi wiadomosc to zamiast oczekiwanej infmracji dostaje > blokade > "Dostęp do sieci na tym komputerze jest zablokowany. Możliwe przyczyny: > nieznana karta sieciowa lub nieznany komputer. > Proszę się skontaktować z naszym Biurem Obsługi. " > > co moze byc przyczyna takiego zachowania? > > z gory dzieki za pomoc! > > > >

1 0

Re: sposob na cwaniaka
by Piotr Prusaczyk 10 Maj '06

10 Maj '06

no jak CI robia konflikty to zrob static arp chociaz tych małokumatych wytniesz, pozdrawiam ----- Original Message ----- From: "S_Wilk" <s_wilk(a)o2.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 11:44 PM Subject: [lms] Re: sposob na cwaniaka Witam! Cezary Listkowski napisał(a): > Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej > sytuacji. > [ciach] > Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem? > ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP. > > Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale > adresow MAC przeciez ludziom nie pozmieniam (40osob) > Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe > dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem > sie z takim sprzetem. > Cholerne radiowki, czy tez nie ma sposobu na cwaniaka? > Sprawdź czy Twój sprzęt obsługuje 802.1x (nie pomyliłem się, 1x) z trybem EAP-TLS. Jeśli tak, używaj WPA + infrastruktura klucza publicznego. Stawiasz u siebie na serwerze centrum autoryzacyjne, generujesz klucze dla każdego użytkownika (każdy ma swój własny, jak komuś udostępni, możesz sprawdzić kto to zrobił i ukarać palanta, poza tym blokujesz wtedy jego klucz i już nie wejdzie). Klucz publiczny centrum trzeba dodać do centrów autoryzacyjnych w windowsach klientów, żeby się windows nie burzył, że ma klucz podpisany przez niezaufane centrum. To wszystko łączysz z radiusem. Uwierzytelnianie idzie wtedy po kluczach prywatnych/publicznych, a szyfrowanie jest takie samo jak przy użyciu wspólnego klucza - WPA. Nie mogę niestety znaleźć dokumentu na podstawie którego sam to robiłem.... szukaj w googlach haseł 802.1x EAP-TLS howto. całkiem fajny dokument jest tu: http://www.tldp.org/HOWTO/html_single/8021X-HOWTO/ choć brak w nim niestety dokładnego opisu dla przypadku EAP-TLS, w szczególności konfiguracji windowsów, która nie jest trywialna... to ostatnie znajdziesz tu: http://www.freeradius.org/doc/EAPTLS.pdf -- Pozdrawiam, Szymon Wilkołazki ---------------------------------------------------------------------- Poznaj Stefana! Zmien komunikator! >>> http://link.interia.pl/f1924

1 0

Re: sposob na cwaniaka
by S_Wilk 09 Maj '06

09 Maj '06

Witam! Cezary Listkowski napisał(a): > Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej sytuacji. > [ciach] > Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem? ano > stad ze ludzie czasami zglaszaja mi konflikty adresow IP. > > Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale adresow > MAC przeciez ludziom nie pozmieniam (40osob) > Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe dla > uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem sie z > takim sprzetem. > > Cholerne radiowki, czy tez nie ma sposobu na cwaniaka? > Sprawdź czy Twój sprzęt obsługuje 802.1x (nie pomyliłem się, 1x) z trybem EAP-TLS. Jeśli tak, używaj WPA + infrastruktura klucza publicznego. Stawiasz u siebie na serwerze centrum autoryzacyjne, generujesz klucze dla każdego użytkownika (każdy ma swój własny, jak komuś udostępni, możesz sprawdzić kto to zrobił i ukarać palanta, poza tym blokujesz wtedy jego klucz i już nie wejdzie). Klucz publiczny centrum trzeba dodać do centrów autoryzacyjnych w windowsach klientów, żeby się windows nie burzył, że ma klucz podpisany przez niezaufane centrum. To wszystko łączysz z radiusem. Uwierzytelnianie idzie wtedy po kluczach prywatnych/publicznych, a szyfrowanie jest takie samo jak przy użyciu wspólnego klucza - WPA. Nie mogę niestety znaleźć dokumentu na podstawie którego sam to robiłem.... szukaj w googlach haseł 802.1x EAP-TLS howto. całkiem fajny dokument jest tu: http://www.tldp.org/HOWTO/html_single/8021X-HOWTO/ choć brak w nim niestety dokładnego opisu dla przypadku EAP-TLS, w szczególności konfiguracji windowsów, która nie jest trywialna... to ostatnie znajdziesz tu: http://www.freeradius.org/doc/EAPTLS.pdf -- Pozdrawiam, Szymon Wilkołazki

1 0

Re: sposob na cwaniaka
by Piotr Prusaczyk 09 Maj '06

09 Maj '06

z miła checia sprzedam proxim ap600 jeden z veracompu a drugi z interprojectu moja niecały rok, w bardzo rozsadnej cenie :), pozdtawiam ----- Original Message ----- From: "Great-T" <greatt(a)ccnet.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 9:53 PM Subject: [lms] Re: sposob na cwaniaka Racja chlopaki z online.pl zrobili kawał dobrej roboty :) Jednak na nic zabezpieczenia pppoe i inne duperele jak niektórzy ludzie nie myślą co robią. Dla przykladu u nas w ZG większość "operatorów" pali sobie wszelkie zabezpieczenia już na starcie puszczając po AP nie tylko to co mają za serwerem ale to co dostali od operatora czyli publiczne IP. Po złamaniu wepa (co dla chcącego nie jest problemem) chwila moment i neta za free i to jeszcze z publicznym IP :) a "operator" nic nie widzi gdyż pakiety mijają jego router na linuxie łącząc się bezpośrednio z brzegowym :) co mądrzejsze osoby wiedzą jak znaleźć pulę adresów ip danego operatora a bramka i dnsy to juz zaden problem. Najlepszym sposobem ochrony przed debilizmem i kombinatorstwem uzytkowników jest poprostu przesiadka na coś co nie ma w nazwie wi-fi i dzierżawa tego sprzętu w czasie trwania umowy. Jak klajent zrywa umowe zabierasz sprzet i dowidzenia. Jak ktoś ma zamiar oszczędzić sobie klopotów ze zwalczaniem pajęczarstwa radiowego to chyba jedyny rozsądny sposób. Apropo posta kolegi zaczynającego wątek jeśli ten kombinator przeszedł do konkurencji a pozostala mu ta sama karta wifi co mial w twojej sieci czemu by nie sprobowac wbic do ich sieci po znanym adresie MAC :) Oko za oko ząb za ząb !!! Pozdrawiam Great-T ----- Original Message ----- From: "-=ReYu=-" <reyu_com(a)go2.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 9:48 AM Subject: [lms] Re: sposob na cwaniaka Cezary Listkowski napisał(a): > Dnia wtorek, 9 maja 2006 00:32, Rafal Drozd napisał: >> AP600 > > Upssss... > No poczytalem sobie o tym sprzecie, musze przyznac ze jest godny uwagi > poza malym szczegolem ktorym jest 11 Mbps a koszt okol 900PLN Mam obecnie > AP900+ Dlinka i Planety 1965 sa to nie drogie urzadzenia ale kiedys > jeszcze bylem jako pierwszy w swojej miejscowosci a teraz narobilo sie > takich jak ja okolo 6 dodatkowo. LOL !!! w dzisiejszych czasach kazdy chce > byc providerem :) > Aby nie skanował ci sieci to wystarczy ci ap z blokada ibbs-raffic na razie sam używam sprzetu http://wifi.online.pl/ i jestem w 100% zadowolony. Masz tu wszystko co bedzie potrzebne. i switch z vlanem jesli masz ap wpiete razem z innymi lanami. No i sprawa załatwiona. Jesli ci sie wepnie to zeskanuje tylko lana na twoim serwie. użytkownicy z radia beda niewidoczni, a jak wpisze zły IP to nawet nie wyjdzie poza AP. wszystko kwestia konfiguracji. -- ReYu ---------------------------------------------------------------------- Zamiast ubrania... >>> http://link.interia.pl/f1935

1 0

Re: sposob na cwaniaka
by Cezary Listkowski 09 Maj '06

09 Maj '06

Dnia wtorek, 9 maja 2006 10:44, Dariusz Kowalczyk napisał: > > Tyle ze napisz mi jeszcze jak rozwiazac problem z podzialem lacza bo > > jesli HTB dziala mi na eth1 i userzy po kablu maja adresy 192.168.0.x a > > serwer ma adres 192.168.0.1 to czy mam userom po radiu przydzieli adresy > > z tej samej sieci ? > > Czarek > na drugiej karcie dajesz inna klase np 192.168.1.0, > > Dariusz Kowalczyk Super ale powiedz jak rozwiazac sprawe z podzialem lacza - tak jak pisze wyzej. To mnie bardzo zastanawia poniewaz w HTB podajesz tylko jeden interfejs. W tym przypadku mysle sobie tak jesli klienci z kabla beda wpieci w eth1 i HTB bedzie im oglaniczal internet, a klienci radiowi beda laczyc sie przez eth2 na ktorym stoi pppoe.... to moze niech pppoe przydziela imi IP z zakresu klasy na eth1 -...hmmmm... ale to nie zadziala bo i jak? Wiec pytanie jak to rozwiazac? -- Cezary Listkowski czaro(a)raciaz.pl Registered Linux User: #366588

1 0

Re: sposob na cwaniaka
by Great-T 09 Maj '06

09 Maj '06

Racja chlopaki z online.pl zrobili kawał dobrej roboty :) Jednak na nic zabezpieczenia pppoe i inne duperele jak niektórzy ludzie nie myślą co robią. Dla przykladu u nas w ZG większość "operatorów" pali sobie wszelkie zabezpieczenia już na starcie puszczając po AP nie tylko to co mają za serwerem ale to co dostali od operatora czyli publiczne IP. Po złamaniu wepa (co dla chcącego nie jest problemem) chwila moment i neta za free i to jeszcze z publicznym IP :) a "operator" nic nie widzi gdyż pakiety mijają jego router na linuxie łącząc się bezpośrednio z brzegowym :) co mądrzejsze osoby wiedzą jak znaleźć pulę adresów ip danego operatora a bramka i dnsy to juz zaden problem. Najlepszym sposobem ochrony przed debilizmem i kombinatorstwem uzytkowników jest poprostu przesiadka na coś co nie ma w nazwie wi-fi i dzierżawa tego sprzętu w czasie trwania umowy. Jak klajent zrywa umowe zabierasz sprzet i dowidzenia. Jak ktoś ma zamiar oszczędzić sobie klopotów ze zwalczaniem pajęczarstwa radiowego to chyba jedyny rozsądny sposób. Apropo posta kolegi zaczynającego wątek jeśli ten kombinator przeszedł do konkurencji a pozostala mu ta sama karta wifi co mial w twojej sieci czemu by nie sprobowac wbic do ich sieci po znanym adresie MAC :) Oko za oko ząb za ząb !!! Pozdrawiam Great-T ----- Original Message ----- From: "-=ReYu=-" <reyu_com(a)go2.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 9:48 AM Subject: [lms] Re: sposob na cwaniaka Cezary Listkowski napisał(a): > Dnia wtorek, 9 maja 2006 00:32, Rafal Drozd napisał: >> AP600 > > Upssss... > No poczytalem sobie o tym sprzecie, musze przyznac ze jest godny uwagi > poza malym szczegolem ktorym jest 11 Mbps a koszt okol 900PLN Mam obecnie > AP900+ Dlinka i Planety 1965 sa to nie drogie urzadzenia ale kiedys > jeszcze bylem jako pierwszy w swojej miejscowosci a teraz narobilo sie > takich jak ja okolo 6 dodatkowo. LOL !!! w dzisiejszych czasach kazdy chce > byc providerem :) > Aby nie skanował ci sieci to wystarczy ci ap z blokada ibbs-raffic na razie sam używam sprzetu http://wifi.online.pl/ i jestem w 100% zadowolony. Masz tu wszystko co bedzie potrzebne. i switch z vlanem jesli masz ap wpiete razem z innymi lanami. No i sprawa załatwiona. Jesli ci sie wepnie to zeskanuje tylko lana na twoim serwie. użytkownicy z radia beda niewidoczni, a jak wpisze zły IP to nawet nie wyjdzie poza AP. wszystko kwestia konfiguracji. -- ReYu

1 0

Re: sposob na cwaniaka
by Dariusz Kowalczyk 09 Maj '06

09 Maj '06

On Tue, 09 May 2006 13:34:25 +0200, brzoza wrote > witak > tak btw > czy ktos moze podrzucic na liste link do dobrego howto do radiusa? > > pozdr > brzoza tak naprawde to radius tak groznie tylko wyglada ale w konfiguracji jest banalny ... mimo wielu plikow jakie znajduja sie w katalogu /etc/raddb tak naprawde do wystartowane z radiusem (w prostej konfiguracji przy autentukacji po mac adresach) potrzebne sa tylko: ---------------clients.conf----------------------------- w tym pliku wpisuje urzadzenia NAS sie acces pointy i np switche ktore beda korzystac z bazy radiusa przykladowo wystarczy wpisac jak sie ma tylko jedna stacje bazowa pierwszy te adres ip AP potem haslo i jego latwa do zapamietania nazwa (przyda sie do sledzenie aktywnosci w logach) client 192.168.1.100 { secret = sciscletajnehaslo shortname = MOJAP } wpis nalezy powtorzyc dla kazdego ap drugi pli ktory nalezy zmodyfikowac to --------users----------- wpisujac tam poszczegolne urzadzenia ktore maja byc uwierzytelniane w radiusie #klient1 "xxxxxxxxxxxx" Auth-Type :=Local, User-Password == "xxxxxxxxxxxx" Service-Type = Outbound-User te iksy to mac adres klienta niektore ap jak np AP600 potrzebuja zeby ten wpis wygladal tak "xxxxxxxxxxxx" Auth-Type :=Local, User-Password == "sciscletajnehaslo" Service-Type = Outbound-User wpisy nalezy powtorzyc dla kazdego urzadzenia/klienta ktory ma byc autoryzowany w radiusie i to wszsytko trzeba restartnac raduisa i tyle, oczywiscie trzeba ap skonfigurowac do tego zeby korzystal z radiusa a nie ze swojej wewnetrzen listy mac adresow ale to jest takze porste bo podaje sie tylko adres ip serwera radius port 1812 i haslo mozna i grzebac w radius.conf ale z reguly nie ma potrzeby plik users mooze tworzyc jakis skrypt z lms-a mozna tez includowac dowolny plik tworzony prez lms-a w tym celu w pliku users trzeba wpisac $INCLUDE nazwapliku w ten sposob ma sie pewnosc ze eksperymentuja nie nadpiszemy sobie pliku konfiguracyjnego to jest bardzo prosta konfiguracja ake dzialajaca jak ktos che wiecej wycisnac z radiusa np segmentacje sieci i przypisywanie klientow do okreslonych stacji bazowych czy autentykacje z wykorzystaniem np eap i innych czy tez integracje radiusa z baza danych to musi sie troche bardziej postarac ale na poczatek przygody z radiusem to zupelnie wystarczy pozdrawiam Dariusz Kowalczyk

1 0

Re: sposob na cwaniaka
by Rafal Drozd 09 Maj '06

09 Maj '06

W Twoim liście datowanym 9 maja 2006 (13:34:25) można przeczytać: > czy ktos moze podrzucic na liste link do dobrego howto do radiusa? bylo juz jakis czas temu poszukaj ;) -- Pozdrowienia, Rafal Drozd

1 0

Re: sposob na cwaniaka
by brzoza 09 Maj '06

09 Maj '06

witak tak btw czy ktos moze podrzucic na liste link do dobrego howto do radiusa? pozdr brzoza

1 0