Sziasztok
Van valami kész megoldás arra, hogy a guest ne tudja megváltoztatni az IP címét vagy ha meg is teszi, azt detektálni és bizonyos feltételek teljesülésekor scriptet tudjak futtatni?
Cél: IP lopás megakadályozása.
Amennyiben nincs még rá kész stuff, a megvalósítási ötlet:
- SQL-ben készítek egy IP -> MAC táblát.
- A MAC-et egy scripttel minden virtuális interfacen átírom a megfelelőre (lekérdezés, átírás már kész, tesztelve, működik)
- arp-scannel időnként ellenőrzöm a hálózaton lévő IP-MAC párosokat, amik ha eltérnek egymástól (vagy nincsenek benne az adatbázisban), a megfelelő szabályok szerint letíltom a problémás VPS-t.
- Amelyik VPS-en fent van a xen-guest-daemon és lekérdezhető az aktuális IP, ott még több info alapján dönthetek a VPS sorsáról
Szerintetek?
- 4040 megtekintés
Hozzászólások
iptables-el adott MAC-ről adott IP-ket engedsz kifelé a bridge-en.
- A hozzászóláshoz be kell jelentkezni
csak tipp: ha jol emlexem xen is csinal a hoston mindenfele tapXXXX vagymi interface-eket, es azt rakja bride-be, elvileg arra is tudsz tenni valami iptables szabalyt, pl:
iptables -A INPUT -i tapXXX -j tap_xxx_in
iptables -A tap_xxx_in -s 1.2.3.4 -j ACCEPT
iptables -A tap_xxx_in -s 5.6.7.8 -j ACCEPT
iptables -A tap_xxx_in -j DROP
iptables -A OUTPUT -o tapXXX -j tap_xxx_out
iptables -A tap_xxx_out -d 1.2.3.4 -j ACCEPT
iptables -A tap_xxx_out -d 5.6.7.8 -j ACCEPT
iptables -A tap_xxx_out -j DROP
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni