forum.opennet.ru - "Полный запрет выдачи IP всем, кроме прописаных в списке лизи..." (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Полный запрет выдачи IP всем, кроме прописаных в списке лизи..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Полный запрет выдачи IP всем, кроме прописаных в списке лизи..."		+/–
Сообщение от SkyRanger (ok) on 01-Июл-09, 07:25
Такая проблема. Есть dhcp сервер, все работает нормально, в конфиге прописаны юзвери с макадресами и айпишниками. Но все таки остается часть свободных адресов. вопрос такой, как запретить раздачу свободных адресов, чтобы включенный левый комп не мог получить автоматом адрес в этой подсети. И можно ли на файрволе (shorewall) закрыть доступ по макадресу. Вот мой конфиг dhcp ddns-update-style none; # option definitions common to all supported networks... option domain-name-servers 192.168.130.220,192.168.130.220; default-lease-time 600; max-lease-time 7200; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; # No service will be given on this subnet, but declaring it helps the # DHCP server to understand the network topology. subnet 192.168.130.0 netmask 255.255.255.0 { range 192.168.130.10 192.168.130.200; option routers 192.168.130.220; } .... а тут дальше список лизинга
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Полный запрет выдачи IP всем, кроме прописаных в списке лизи..., mikra, 10:42 , 01-Июл-09, (1)

Полный запрет выдачи IP всем, кроме прописаных в списке лизи..., ronin, 10:36 , 09-Июл-09, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Полный запрет выдачи IP всем, кроме прописаных в списке лизи..." +/–

Сообщение от mikra on 01-Июл-09, 10:42

>[оверквотинг удален]
>вопрос такой, как запретить раздачу свободных адресов, чтобы включенный левый комп
>не мог получить автоматом адрес в этой подсети. И можно ли
>на  файрволе (shorewall) закрыть доступ по макадресу.
>
>subnet 192.168.130.0 netmask 255.255.255.0 {
>range 192.168.130.10 192.168.130.200;
>option routers 192.168.130.220;
>}
>
>а тут дальше список лизинга
Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним - левые ip. Изменить общую секцию subnet на неправильную, а для своих прописать правильно. Тогда и файрволить попроще.
А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол, а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию маков  умеет, значит и этот должен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Полный запрет выдачи IP всем, кроме прописаных в списке лизи..." +/–

Сообщение от ronin (??) on 09-Июл-09, 10:36

>Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним -
>левые ip. Изменить общую секцию subnet на неправильную, а для своих
>прописать правильно. Тогда и файрволить попроще.
Не совсем удачное решение. Для этого существует специально обученная опция конфигурации DHCP:
deny unknown-clients;
Ставится она в секцию определения сети. А потом для каждой машины прописывается МАС-адрес и соответствующий айпишник. Вот как оно реализовано на одном сервере в продакшене:

authoritative;
ddns-updates off;
ddns-update-style none;

subnet 172.16.0.0 netmask 255.255.0.0 {
range 172.16.0.2 172.16.255.254;
default-lease-time 3600;
max-lease-time 86400;
option broadcast-address 172.16.255.255;
option routers 172.16.0.255;
option domain-name-servers 172.16.0.1,213.130.16.3,213.130.16.20,82.207.66.241,82.207.66.242;
option netbios-name-servers 172.16.0.1;
option ntp-servers 172.16.0.1;
option perform-mask-discovery false;
option router-discovery false;
option domain-name "scalar.lan";
deny unknown-clients;
host host1 {
  hardware ethernet 00:1E:8C:8F:53:6F;
  fixed-address 172.16.0.2;
  option host-name "host1";
}
host host2 {
  hardware ethernet 00:13:8F:26:8D:A7;
  fixed-address 172.16.0.3;
  option host-name "host2";
}
...
...
}
>А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол,
>а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию
>маков  умеет, значит и этот должен.
Ммм.... Изначально вопрос был о раздаче айпишек "своим" машинам, а не о фильтрации по МАС адресам, так что не сомвем понятно к чему это...

respect,
ronin

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Полный запрет выдачи IP всем, кроме прописаных в списке лизи..."		+/–
Сообщение от mikra on 01-Июл-09, 10:42
>[оверквотинг удален] >вопрос такой, как запретить раздачу свободных адресов, чтобы включенный левый комп >не мог получить автоматом адрес в этой подсети. И можно ли >на файрволе (shorewall) закрыть доступ по макадресу. > >subnet 192.168.130.0 netmask 255.255.255.0 { >range 192.168.130.10 192.168.130.200; >option routers 192.168.130.220; >} > >а тут дальше список лизинга Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним - левые ip. Изменить общую секцию subnet на неправильную, а для своих прописать правильно. Тогда и файрволить попроще. А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол, а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию маков умеет, значит и этот должен.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Полный запрет выдачи IP всем, кроме прописаных в списке лизи..."		+/–
	Сообщение от ronin (??) on 09-Июл-09, 10:36
	>Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним - >левые ip. Изменить общую секцию subnet на неправильную, а для своих >прописать правильно. Тогда и файрволить попроще. Не совсем удачное решение. Для этого существует специально обученная опция конфигурации DHCP: deny unknown-clients; Ставится она в секцию определения сети. А потом для каждой машины прописывается МАС-адрес и соответствующий айпишник. Вот как оно реализовано на одном сервере в продакшене: authoritative; ddns-updates off; ddns-update-style none; subnet 172.16.0.0 netmask 255.255.0.0 { range 172.16.0.2 172.16.255.254; default-lease-time 3600; max-lease-time 86400; option broadcast-address 172.16.255.255; option routers 172.16.0.255; option domain-name-servers 172.16.0.1,213.130.16.3,213.130.16.20,82.207.66.241,82.207.66.242; option netbios-name-servers 172.16.0.1; option ntp-servers 172.16.0.1; option perform-mask-discovery false; option router-discovery false; option domain-name "scalar.lan"; deny unknown-clients; host host1 { hardware ethernet 00:1E:8C:8F:53:6F; fixed-address 172.16.0.2; option host-name "host1"; } host host2 { hardware ethernet 00:13:8F:26:8D:A7; fixed-address 172.16.0.3; option host-name "host2"; } ... ... } >А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол, >а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию >маков умеет, значит и этот должен. Ммм.... Изначально вопрос был о раздаче айпишек "своим" машинам, а не о фильтрации по МАС адресам, так что не сомвем понятно к чему это... respect, ronin
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору