Вопрос по DHCP
-
Такой вопрос на одном из интерфейсов у меня поднят DHCP сервер. Как сделать так, чтобы клиенты не могли назначать себе адреса в ручную. Знаю что можно т.к. в своей сети использую wi-fi точки доступа с самописной прошивкой (не моей) в них при включении dhcp сервера клиенты подключающиеся по wifi получают адреса и нормально работают, если они прописывают себе адреса статические из диапазона раздаваемого точкой доступа то у них возникает конфликт ip адресов
-
можно сделать mac + ip + static arp
-
А разве клиенту можно запретить что-то выставить на своем интерфейсе? Максимум оградить от таких адресов. Предлагаемый вариант, как я понимаю, как раз для этого и предназначен.
-
Имеется в виду, что точка доступа пускает в сеть только тех, для кого совпадает пара MAC+IP с соответсвующей записью в таблице?
Меня это тоже интересует. Это какой-то демон (возможно есть в портах), который снифает сеть и заполняет свою таблицу (её возможно и вручную можно редактировать), и если обнаруживает несоответствие, то отсылает этому клиенту ARP ответ, что соответствующий IP адрес занят. После чего у клиента как раз и вылазит ошибка IP адреса и он больше не может работать в сети. (зависит от винды и версии сервиспака).
Можно глянуть в этой точке доступа список запущенных процессов?PS: Защита конечно не железобетонная (на каждый хитрый болт найдётся хитрая задница), но от кулхацкеров убережёт.
-
Mem: 5128K used, 656K free, 0K shrd, 212K buff, 1676K cached Load average: 0.08 0.12 0.06 PID PPID USER STAT VSZ %MEM COMMAND 160 1 root S 1788 31% /sbin/crond -L /var/log/cron.log 139 1 root S 1784 31% /sbin/udhcpc -S -i wlan0 -t 3 -b 1 0 root S 1780 31% init 163 1 root S 1780 31% /sbin/inetd 21 1 root S 1780 31% -/bin/sh 570 568 root S 1780 31% -sh 573 570 root R 1772 30% top 197 1 root S 1772 30% /sbin/udhcpd 568 163 root S 1308 23% /sbin/dropbear -i 4 0 root SW 0 0% [kswapd] 7 1 root SW 0 0% [cifsoplockd] 8 1 root SW 0 0% [mtdblockd] 5 0 root SW 0 0% [bdflush] 6 0 root SW 0 0% [kupdated] 2 1 root SW 0 0% [keventd] 3 0 root SWN 0 0% [ksoftirqd_CPU0]а вот арп таблица
login as: root root@172.16.200.250's password: ::Wive-NG-0.1.12::RTL8186-REALTIME:: Base station firmware version Fri, 07 Nov 2008 08:11:51 +0600 BusyBox v1.12.1.-wive-ng.sf.net (2008-11-07 08:01:12 OMST) built-in shell (ash) Enter 'help' for a list of built-in commands. [Wive-NG@/]# arp ? (172.16.20.195) at <incomplete>on wlan0 ? (172.16.20.201) at 00:1A:4D:54:12:6E [ether] on wlan0 ? (172.16.20.204) at 00:1C:F0:6E:25:7D [ether] on wlan0 ? (172.16.20.40) at <incomplete>on wlan0 ? (172.16.20.178) at <incomplete>on wlan0 [Wive-NG@/]#</incomplete></incomplete></incomplete>Примерно так только разница в том что если удаленный хост запросил получение адреса то ему дадут, если не запросил то получит конфликт.
В моем случае клиенты с адресами 172.16.20.204 и 172.16.20.201 работают нормально, а 172.16.20.195, 172.16.20.40, 172.16.20.178 прописали себе статические адреса и получают конфликт.
-
Не ужели никто из сообщества не знает ответа на поставленный вопрос?
-
Не ужели никто из сообщества не знает ответа на поставленный вопрос?
В DHCP сервере есть опция
Enable Static ARP entries
Note: Only the machines listed below will be able to communicate with the firewall on this NIC.Переводится как "Только машини, перечисленные ниже, смогут подключаться к файрволлу на этом интерфейсе". Я так понимаю тебе достаточно в этом дхсп внизу завести все разрешенные мак адреса. Неизвестные пойдут лесом.
Можно зарезервировать им постоянные адреса, а можно использовать динамику. -
А если статический адрес будет таким же, который до этого присвоил DHCP сервер?
-
А если статический адрес будет таким же, который до этого присвоил DHCP сервер?
тогда "компьютер" будет такой же, чего в этом плохого?
-
Задача стоит в том чтобы запретить пользователям использовать статические адреса.
-
Задача стоит в том чтобы запретить пользователям использовать статические адреса.
Скажите, а вы пробовали статик ARP уже? Результаты какие?
http://brutenet.livejournal.com/8738.html -
пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.
-
пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.
Но это же удовлетворяет ваш запрос
"Как сделать так, чтобы клиенты не могли назначать себе адреса в ручную."
адреса прописанные вручную работать не смогут -
Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.
-
Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.
Ну собственно это требование было четко обозначено в первом посте )))))
Итак, Pfsense этого не умеет, это однозначно. Год назад я, после непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
Логика следующая:
Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.
Криво конечно, но ради интереса… -
Логичне было-бы анализировать список выданных dhcp IP и им разрешать. А всем остальным запретить.
-
непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.А можно глянуть сей скрипт?