forum.opennet.ru

Составление сообщения

Исходное сообщение

"Полный запрет выдачи IP всем, кроме прописаных в списке лизи..."
Отправлено ronin, 09-Июл-09 10:36

>Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним -
>левые ip. Изменить общую секцию subnet на неправильную, а для своих
>прописать правильно. Тогда и файрволить попроще.
Не совсем удачное решение. Для этого существует специально обученная опция конфигурации DHCP:
deny unknown-clients;
Ставится она в секцию определения сети. А потом для каждой машины прописывается МАС-адрес и соответствующий айпишник. Вот как оно реализовано на одном сервере в продакшене:

authoritative;
ddns-updates off;
ddns-update-style none;

subnet 172.16.0.0 netmask 255.255.0.0 {
range 172.16.0.2 172.16.255.254;
default-lease-time 3600;
max-lease-time 86400;
option broadcast-address 172.16.255.255;
option routers 172.16.0.255;
option domain-name-servers 172.16.0.1,213.130.16.3,213.130.16.20,82.207.66.241,82.207.66.242;
option netbios-name-servers 172.16.0.1;
option ntp-servers 172.16.0.1;
option perform-mask-discovery false;
option router-discovery false;
option domain-name "scalar.lan";
deny unknown-clients;
host host1 {
  hardware ethernet 00:1E:8C:8F:53:6F;
  fixed-address 172.16.0.2;
  option host-name "host1";
}
host host2 {
  hardware ethernet 00:13:8F:26:8D:A7;
  fixed-address 172.16.0.3;
  option host-name "host2";
}
...
...
}
>А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол,
>а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию
>маков  умеет, значит и этот должен.
Ммм.... Изначально вопрос был о раздаче айпишек "своим" машинам, а не о фильтрации по МАС адресам, так что не сомвем понятно к чему это...

respect,
ronin

Исходное сообщение
"Полный запрет выдачи IP всем, кроме прописаных в списке лизи..." Отправлено ronin, 09-Июл-09 10:36
>Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним - >левые ip. Изменить общую секцию subnet на неправильную, а для своих >прописать правильно. Тогда и файрволить попроще. Не совсем удачное решение. Для этого существует специально обученная опция конфигурации DHCP: deny unknown-clients; Ставится она в секцию определения сети. А потом для каждой машины прописывается МАС-адрес и соответствующий айпишник. Вот как оно реализовано на одном сервере в продакшене: authoritative; ddns-updates off; ddns-update-style none; subnet 172.16.0.0 netmask 255.255.0.0 { range 172.16.0.2 172.16.255.254; default-lease-time 3600; max-lease-time 86400; option broadcast-address 172.16.255.255; option routers 172.16.0.255; option domain-name-servers 172.16.0.1,213.130.16.3,213.130.16.20,82.207.66.241,82.207.66.242; option netbios-name-servers 172.16.0.1; option ntp-servers 172.16.0.1; option perform-mask-discovery false; option router-discovery false; option domain-name "scalar.lan"; deny unknown-clients; host host1 { hardware ethernet 00:1E:8C:8F:53:6F; fixed-address 172.16.0.2; option host-name "host1"; } host host2 { hardware ethernet 00:13:8F:26:8D:A7; fixed-address 172.16.0.3; option host-name "host2"; } ... ... } >А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол, >а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию >маков умеет, значит и этот должен. Ммм.... Изначально вопрос был о раздаче айпишек "своим" машинам, а не о фильтрации по МАС адресам, так что не сомвем понятно к чему это... respect, ronin

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру