Blokowanie adresów statycznych w DHCP

laserpl · Post autor: **laserpl** » 29 marca 2012, 13:11

Witam.
Mam taki problem, chciałbym zablokować możliwość pobierania adresów ip z sieci. Posiadam dwie podsieci 192.168.1.1 oraz 192.168.2.1 i nie wiem jak ustawić reguły w dhcp lub firewallu. Jak ktoś znając bramę sieci wpisze obojętnie jaki adres ip na sztywno i uzyska dostęp do internetu i zasobów lokalnych. Jak temu zaradzić proszę o pomoc.

Unit · Post autor: **Unit** » 29 marca 2012, 13:42

laserpl pisze: ...uzyska dostęp do internetu...

Skonfigurować firewall poprzez powiązanie ip z adresem mac np. generując z tablicy dhcp wpisy iptables.

laserpl pisze: ...zasobów lokalnych...

Taki użytkownik nie komunikuje się z bramką, więc możliwości były by takie:
- Przełącznik z opcją ,,port security''
- Zabezpieczyć zasoby w sieci (autoryzacja/autentykacja)

laserpl · Post autor: **laserpl** » 29 marca 2012, 13:55

Czyli początkowo cały ruch w sieci ustawić na:

Kod: Zaznacz cały

iptables -P INPUT -j DROP

a poszczególnym adresom zezwolić na ruch np:coś takiego?

Kod: Zaznacz cały

iptables -A PREROUTING -s X.X.X.X -m mac --mac-source "mac" -i eth1 -j ACCEPT

Unit · Post autor: **Unit** » 29 marca 2012, 14:07

Tak.
Tablice dhcp zrób sobie formatu:

Kod: Zaznacz cały

host hostA { hardware ethernet 12:34:56:78:90:ab ; fixed-address 192.168.0.2 ; }

i później w pętli po pliku z hostami generować iptables.

fnmirk · Post autor: **fnmirk** » 29 marca 2012, 14:08

laserpl, proszę poprawić tekst zgodnie zasadami obowiązującej pisowni. Polecenia proszę umieścić w znacznikach code.

michnik · Post autor: **michnik** » 30 marca 2012, 09:59

Możesz również powiązać powyższe rozwiązanie z serwerem proxy i dodatkowo wyświetlić takiemu "obcemu" monit w przeglądarce.