Вопрос по DHCP



  • Такой вопрос на одном из интерфейсов у меня поднят DHCP сервер. Как сделать так, чтобы клиенты не могли назначать себе адреса в ручную. Знаю что можно т.к. в своей сети использую wi-fi точки доступа с самописной прошивкой (не моей) в них при включении dhcp сервера клиенты подключающиеся по wifi получают адреса и нормально работают, если они прописывают себе адреса статические из диапазона раздаваемого точкой доступа то у них возникает конфликт ip адресов



  • можно сделать mac + ip + static arp



  • А разве клиенту можно запретить что-то выставить на своем интерфейсе? Максимум оградить от таких адресов. Предлагаемый вариант, как я понимаю, как раз для этого и предназначен.



  • Имеется в виду, что точка доступа пускает в сеть только тех, для кого совпадает пара MAC+IP с соответсвующей записью в таблице?
    Меня это тоже интересует. Это какой-то демон (возможно есть в портах), который снифает сеть и заполняет свою таблицу (её возможно и вручную можно редактировать), и если обнаруживает несоответствие, то отсылает этому клиенту ARP ответ, что соответствующий IP адрес занят. После чего у клиента как раз и вылазит ошибка IP адреса и он больше не может работать в сети. (зависит от винды и версии сервиспака).
    Можно глянуть в этой точке доступа список запущенных процессов?

    PS: Защита конечно не железобетонная (на каждый хитрый болт найдётся хитрая задница), но от кулхацкеров убережёт.



  • 
    Mem: 5128K used, 656K free, 0K shrd, 212K buff, 1676K cached
    Load average: 0.08 0.12 0.06
      PID  PPID USER     STAT   VSZ %MEM COMMAND
      160     1 root     S     1788  31% /sbin/crond -L /var/log/cron.log
      139     1 root     S     1784  31% /sbin/udhcpc -S -i wlan0 -t 3 -b
        1     0 root     S     1780  31% init
      163     1 root     S     1780  31% /sbin/inetd
       21     1 root     S     1780  31% -/bin/sh
      570   568 root     S     1780  31% -sh
      573   570 root     R     1772  30% top
      197     1 root     S     1772  30% /sbin/udhcpd
      568   163 root     S     1308  23% /sbin/dropbear -i
        4     0 root     SW       0   0% [kswapd]
        7     1 root     SW       0   0% [cifsoplockd]
        8     1 root     SW       0   0% [mtdblockd]
        5     0 root     SW       0   0% [bdflush]
        6     0 root     SW       0   0% [kupdated]
        2     1 root     SW       0   0% [keventd]
        3     0 root     SWN      0   0% [ksoftirqd_CPU0]
    
    

    а вот арп таблица

    
    login as: root
    root@172.16.200.250's password:
    ::Wive-NG-0.1.12::RTL8186-REALTIME::
    Base station firmware version
    Fri, 07 Nov 2008 08:11:51 +0600
    
    BusyBox v1.12.1.-wive-ng.sf.net (2008-11-07 08:01:12 OMST) built-in shell (ash)
    Enter 'help' for a list of built-in commands.
    
    [Wive-NG@/]# arp
    ? (172.16.20.195) at <incomplete>on wlan0
    ? (172.16.20.201) at 00:1A:4D:54:12:6E [ether]  on wlan0
    ? (172.16.20.204) at 00:1C:F0:6E:25:7D [ether]  on wlan0
    ? (172.16.20.40) at <incomplete>on wlan0
    ? (172.16.20.178) at <incomplete>on wlan0
    [Wive-NG@/]#</incomplete></incomplete></incomplete> 
    

    Примерно так только разница в том что если удаленный хост запросил получение адреса то ему дадут, если не запросил то получит конфликт.

    В моем случае клиенты с адресами 172.16.20.204 и 172.16.20.201 работают нормально, а 172.16.20.195, 172.16.20.40, 172.16.20.178 прописали себе статические адреса и получают конфликт.



  • Не ужели никто из сообщества не знает ответа на поставленный вопрос?



  • @Blackcat:

    Не ужели никто из сообщества не знает ответа на поставленный вопрос?

    В DHCP сервере есть опция

    Enable Static ARP entries 
       Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    Переводится как "Только машини, перечисленные ниже, смогут подключаться к файрволлу на этом интерфейсе". Я так понимаю тебе достаточно в этом дхсп внизу завести все разрешенные мак адреса. Неизвестные пойдут лесом.
    Можно зарезервировать им постоянные адреса, а можно использовать динамику.



  • А если статический адрес будет таким же, который до этого присвоил DHCP сервер?



  • @Stirlitz:

    А если статический адрес будет таким же, который до этого присвоил DHCP сервер?

    тогда "компьютер" будет такой же, чего в этом плохого?



  • Задача стоит в том чтобы запретить пользователям использовать статические адреса.



  • @Blackcat:

    Задача стоит в том чтобы запретить пользователям использовать статические адреса.

    Скажите, а вы пробовали статик ARP уже? Результаты какие?
    http://brutenet.livejournal.com/8738.html



  • пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.



  • @Blackcat:

    пробовал в этом случае клиентам не прописанным в листе просто не выдается адрес.

    Но это же удовлетворяет ваш запрос
    "Как сделать так, чтобы клиенты не могли назначать себе адреса в ручную."
    адреса прописанные вручную работать не смогут



  • Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.



  • @dvserg:

    Хотят чтобы подключиться мог любой, но только получивший айпи через дхцп.

    Ну собственно это требование было четко обозначено в первом посте )))))

    Итак, Pfsense этого не умеет, это однозначно. Год назад я, после непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
    Логика следующая:
    Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.
    Криво конечно, но ради интереса…



  • Логичне было-бы анализировать список выданных dhcp IP и им разрешать. А всем остальным запретить.



  • @r3l4x:

    непродолжительного гуглинга реализовал все на скриптах, немного не так как хотелось, но работало.
    Скрипт сканит подсеть, строит список ип, далее из этого списка исключает все арендованные адреса + адреса серверов, оставшиеся банит.

    А можно глянуть сей скрипт?


Log in to reply