Вопрос по DHCP

Sonya

Имеется в виду, что точка доступа пускает в сеть только тех, для кого совпадает пара MAC+IP с соответсвующей записью в таблице?
Меня это тоже интересует. Это какой-то демон (возможно есть в портах), который снифает сеть и заполняет свою таблицу (её возможно и вручную можно редактировать), и если обнаруживает несоответствие, то отсылает этому клиенту ARP ответ, что соответствующий IP адрес занят. После чего у клиента как раз и вылазит ошибка IP адреса и он больше не может работать в сети. (зависит от винды и версии сервиспака).
Можно глянуть в этой точке доступа список запущенных процессов?

PS: Защита конечно не железобетонная (на каждый хитрый болт найдётся хитрая задница), но от кулхацкеров убережёт.

Blackcat

Mem: 5128K used, 656K free, 0K shrd, 212K buff, 1676K cached
Load average: 0.08 0.12 0.06
  PID  PPID USER     STAT   VSZ %MEM COMMAND
  160     1 root     S     1788  31% /sbin/crond -L /var/log/cron.log
  139     1 root     S     1784  31% /sbin/udhcpc -S -i wlan0 -t 3 -b
    1     0 root     S     1780  31% init
  163     1 root     S     1780  31% /sbin/inetd
   21     1 root     S     1780  31% -/bin/sh
  570   568 root     S     1780  31% -sh
  573   570 root     R     1772  30% top
  197     1 root     S     1772  30% /sbin/udhcpd
  568   163 root     S     1308  23% /sbin/dropbear -i
    4     0 root     SW       0   0% [kswapd]
    7     1 root     SW       0   0% [cifsoplockd]
    8     1 root     SW       0   0% [mtdblockd]
    5     0 root     SW       0   0% [bdflush]
    6     0 root     SW       0   0% [kupdated]
    2     1 root     SW       0   0% [keventd]
    3     0 root     SWN      0   0% [ksoftirqd_CPU0]

а вот арп таблица

login as: root
root@172.16.200.250's password:
::Wive-NG-0.1.12::RTL8186-REALTIME::
Base station firmware version
Fri, 07 Nov 2008 08:11:51 +0600

BusyBox v1.12.1.-wive-ng.sf.net (2008-11-07 08:01:12 OMST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

[Wive-NG@/]# arp
? (172.16.20.195) at <incomplete>on wlan0
? (172.16.20.201) at 00:1A:4D:54:12:6E [ether]  on wlan0
? (172.16.20.204) at 00:1C:F0:6E:25:7D [ether]  on wlan0
? (172.16.20.40) at <incomplete>on wlan0
? (172.16.20.178) at <incomplete>on wlan0
[Wive-NG@/]#</incomplete></incomplete></incomplete> 

Примерно так только разница в том что если удаленный хост запросил получение адреса то ему дадут, если не запросил то получит конфликт.

В моем случае клиенты с адресами 172.16.20.204 и 172.16.20.201 работают нормально, а 172.16.20.195, 172.16.20.40, 172.16.20.178 прописали себе статические адреса и получают конфликт.

Blackcat

Не ужели никто из сообщества не знает ответа на поставленный вопрос?

dvserg

@Blackcat:

Не ужели никто из сообщества не знает ответа на поставленный вопрос?

В DHCP сервере есть опция

Enable Static ARP entries 
   Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

Переводится как "Только машини, перечисленные ниже, смогут подключаться к файрволлу на этом интерфейсе". Я так понимаю тебе достаточно в этом дхсп внизу завести все разрешенные мак адреса. Неизвестные пойдут лесом.
Можно зарезервировать им постоянные адреса, а можно использовать динамику.

Stirlitz

А если статический адрес будет таким же, который до этого присвоил DHCP сервер?

zar0ku1

@Stirlitz:

А если статический адрес будет таким же, который до этого присвоил DHCP сервер?

тогда "компьютер" будет такой же, чего в этом плохого?

Blackcat

Задача стоит в том чтобы запретить пользователям использовать статические адреса.

dvserg

@Blackcat:

Задача стоит в том чтобы запретить пользователям использовать статические адреса.

Скажите, а вы пробовали статик ARP уже? Результаты какие?
http://brutenet.livejournal.com/8738.html

Blackcat

пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.

zar0ku1

@Blackcat:

пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.

Но это же удовлетворяет ваш запрос
"Как сделать так, чтобы клиенты не могли назначать себе адреса в ручную."
адреса прописанные вручную работать не смогут

dvserg

Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.

r3l4x

@dvserg:

Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.

Ну собственно это требование было четко обозначено в первом посте )))))

Итак, Pfsense этого не умеет, это однозначно. Год назад я, после непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
Логика следующая:
Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.
Криво конечно, но ради интереса…

dvserg

Логичне было-бы анализировать список выданных dhcp IP и им разрешать. А всем остальным запретить.

Sonya

@r3l4x:

непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.

А можно глянуть сей скрипт?