DHCP и запрет статических адресов

[jewrt]

Есть DHCP сервер, раздающий адреса только по МАКу.

Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте?

[Ineu]

jewrt писал(а) Птн, 12 Мая 2006 07:47

Есть DHCP сервер, раздающий адреса только по МАКу. Можно ли как-то запретить доступ к сети юзерам которые будут прописывать айпишник локально на Windows (в моем случае) клиенте?

В простейшем случае, когда машины объединены в сеть примитивными свичами - нельзя. В общем случае - все зависит от структуры сети.

ЗЫ. На худой конец, можно пытаться глушить несанкционированно появивишуюся в сети машину ARP-спуфом, но в собственной сети этого делать не стоит

[SignFinder]

можно с помощью arp -f сделать привязку ip-mac и запретить доступ к серверу всем кроме разрешенных адресов.

[jewrt]

а что мне даст arp -f???

запишу я файл пары ip MAC... а что дальше? (спрашиваю потому что не знаю)

[SignFinder]

Цитата:

а что мне даст arp -f???

не даст подключиться к серверу с Ip отличным от прописанного в связке ip-mac

[Hans R. Steiner]

Если вопрос стоит именно о запрете установки статических IP-

адресов то, можно извратиться:

разбирать в пакеты и фиксировать те, в которых говорится о

успешном присвоении IP-адреса, далее, скриптом помещать в

mangle правило типа -s $IP -j MARK --set-mark $MARK, а в

filters, что-то вроде -m mark --mark $MARK -j ACCEPT...

Сам такого не делал... мои эксперементы с маркерами начались

и закончились на маркировке пакетов для tc и заворачивание

некоторых IP куда-нибудь

---

Так же, можно отслеживать события в /var/log/messages,

содержащие DHCPOFFER и DHCPRELEASE и на основании этого,

выполнять аналогичные действия

[Ineu]

Можно отлавливать пакеты при помощи какого-нибудь pcap-фильтра или тем же iptables складывать все в лог, а потом проверять адреса на наличие в /var/lib/dhpcd/dhcpd.leases (или другой, в зависимости от Вашего dhcp-демона).

[Hans R. Steiner]

Нет, отлавливать пакеты и класть в лог - это не интересно...

iptables позволяет пропускать пакеты через скрипты (правда,

лично я этого не пробывал) и это идет в режиме реалтайм, а

складывать влог анализ пакетов и после анализировать этот лог

безсмисленно так, как лог DHCP и так есть... достаточно просто

отслеживать /var/log/messages

[jewrt]

Попался мне под руку пакет arptables...

Почитав немного, понял что в принципе можно закрыть и через него. Как считают мои уважаемые собеседники?

[Hans R. Steiner]

Бегло прочитал, что говорит о arptables google...

Судя по всему, arptables - это просто надстройка (а то и просто

интерфейс) к iptables. Как мне кажется, использовать подобные

надстройки, в том случае, если они не расширяют возможности

iptables, нет смысла.

А вообще, по сути, это просто реализация с помощью iptables того,

что обычно, делают при помощи arp. в любом случае, надо

придумывать что-то, что будет делать что-то, когда человек

получает IP