Перейти к содержанию

DHCP и запрет статических адресов


Рекомендуемые сообщения

Есть DHCP сервер, раздающий адреса только по МАКу.

Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте?

Ссылка на комментарий
Поделиться на другие сайты

jewrt писал(а) Птн, 12 Мая 2006 07:47

Есть DHCP сервер, раздающий адреса только по МАКу.

Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте?

В простейшем случае, когда машины объединены в сеть примитивными свичами - нельзя. В общем случае - все зависит от структуры сети.

ЗЫ. На худой конец, можно пытаться глушить несанкционированно появивишуюся в сети машину ARP-спуфом, но в собственной сети этого делать не стоит Wink

Ссылка на комментарий
Поделиться на другие сайты

Если вопрос стоит именно о запрете установки статических IP-

адресов то, можно извратиться:

разбирать в пакеты и фиксировать те, в которых говорится о

успешном присвоении IP-адреса, далее, скриптом помещать в

mangle правило типа -s $IP -j MARK --set-mark $MARK, а в

filters, что-то вроде -m mark --mark $MARK -j ACCEPT...

Сам такого не делал... мои эксперементы с маркерами начались

и закончились на маркировке пакетов для tc и заворачивание

некоторых IP куда-нибудь

---

Так же, можно отслеживать события в /var/log/messages,

содержащие DHCPOFFER и DHCPRELEASE и на основании этого,

выполнять аналогичные действия

Ссылка на комментарий
Поделиться на другие сайты

Можно отлавливать пакеты при помощи какого-нибудь pcap-фильтра или тем же iptables складывать все в лог, а потом проверять адреса на наличие в /var/lib/dhpcd/dhcpd.leases (или другой, в зависимости от Вашего dhcp-демона).

Ссылка на комментарий
Поделиться на другие сайты

Нет, отлавливать пакеты и класть в лог - это не интересно...

iptables позволяет пропускать пакеты через скрипты (правда,

лично я этого не пробывал) и это идет в режиме реалтайм, а

складывать влог анализ пакетов и после анализировать этот лог

безсмисленно так, как лог DHCP и так есть... достаточно просто

отслеживать /var/log/messages

Ссылка на комментарий
Поделиться на другие сайты

Попался мне под руку пакет arptables...

Почитав немного, понял что в принципе можно закрыть и через него. Как считают мои уважаемые собеседники?

Ссылка на комментарий
Поделиться на другие сайты

Бегло прочитал, что говорит о arptables google...

Судя по всему, arptables - это просто надстройка (а то и просто

интерфейс) к iptables. Как мне кажется, использовать подобные

надстройки, в том случае, если они не расширяют возможности

iptables, нет смысла.

А вообще, по сути, это просто реализация с помощью iptables того,

что обычно, делают при помощи arp. в любом случае, надо

придумывать что-то, что будет делать что-то, когда человек

получает IP

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...