>Можно сделать чтобы всем своим клиентам выдавались свои адреса, а посторонним -
>левые ip. Изменить общую секцию subnet на неправильную, а для своих
>прописать правильно. Тогда и файрволить попроще. Не совсем удачное решение. Для этого существует специально обученная опция конфигурации DHCP:
deny unknown-clients;
Ставится она в секцию определения сети. А потом для каждой машины прописывается МАС-адрес и соответствующий айпишник. Вот как оно реализовано на одном сервере в продакшене:
authoritative;
ddns-updates off;
ddns-update-style none;
subnet 172.16.0.0 netmask 255.255.0.0 {
range 172.16.0.2 172.16.255.254;
default-lease-time 3600;
max-lease-time 86400;
option broadcast-address 172.16.255.255;
option routers 172.16.0.255;
option domain-name-servers 172.16.0.1,213.130.16.3,213.130.16.20,82.207.66.241,82.207.66.242;
option netbios-name-servers 172.16.0.1;
option ntp-servers 172.16.0.1;
option perform-mask-discovery false;
option router-discovery false;
option domain-name "scalar.lan";
deny unknown-clients;
host host1 {
hardware ethernet 00:1E:8C:8F:53:6F;
fixed-address 172.16.0.2;
option host-name "host1";
}
host host2 {
hardware ethernet 00:13:8F:26:8D:A7;
fixed-address 172.16.0.3;
option host-name "host2";
}
...
...
}
>А маки тоже фильтруются, надо читать документацию к shorewall. Он не файрвол,
>а интерпретатор правил для netfilter, как и iptables. iptables задавать фильтрацию
>маков умеет, значит и этот должен.
Ммм.... Изначально вопрос был о раздаче айпишек "своим" машинам, а не о фильтрации по МАС адресам, так что не сомвем понятно к чему это...
respect,
ronin