nixp.ru v3.0

23 января 2017,
понедельник,
19:59:39 MSK

DevOps с компанией «Флант»
anonymous написал 3 февраля 2005 года в 17:11 (179 просмотров) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

Доброго времени суток.

Начал разибираться в протоколе DHВРС.

Настроил сеть, все работает.

Меня заинтересовала возможно идентификации компьютера по MAC.

DHCP раздает IP адреса по MAC.

Но если человек сам пропишет себе IP адрес на машине, допустим из диапазона раздаваемых и не занятых IP, то сможет подключится и выйти в интернет под чужим IP.

Подскажите как зпретить подключаться с самостоятельно введенным IP. Сделать так, что-бы подключение возможно было только по DHCP?

fly4life

Совета два:

1) конкретно по вопросу. Настроить на маршрутизаторе разрешение на доступ во внешнюю сеть только тем IP, которые соответствуют своим МАК адресам. Читай 'man iptables' где-то рядышком с '—mac-source’. (хотя, может это и не самый красивый способ… Просто первое, что пришло в голову ;))

2) НЕ использовать описанный тобой способ контроля выхода в интернет. Ибо, при смене МАК адреса можно получить IP, соответствующий этому МАК’у, и лезть спокойно в инет.

anonymous

Спасибо. Я об этом тоже дума, мне кажеться есть другой способ.

У меня подключение через кабельную сеть.

Все настроки выдаются через DHCP.

Если я ввожу что-то вручную, ip напроимер, то ничего не работает.

Я бы хотел реализовать такой вариант.

Прописывать каждый MAC, можно, но это немного нет.

Ведь если я ввожу левый IP, то даже соединение не поднимется.

Как этого достичь?

fly4life
Guest
Ведь если я ввожу левый IP, то даже соединение не поднимется.

Как этого достичь?

А ты, наверное, вводишь левый IP, до того, как произошла «авторизация» на DHCP сервере, так? Тогда, опять же наверное, просто клиенту не прописались настройки ДНС серверов и gateway’а, выдаваемые DHCP сервером.

Но это всё, как ты уже догадался, догадки, т.к. настроек твоего DHCP сервера я не знаю.

anonymous

Можно ли такого достичь?

У меня есть сеть

——————————-

| 192.168.0.1 — 192.168.0.50 |

——————————-

Мне выдали IP: 192.168.0.10, выдали по DHCP.

А я возьму и поменяю на: 192.168.0.11 и что тогда?

А тогда не долно ничего работать, даже сеть 192.168.0.x

fly4life
Guest
Мне выдали IP: 192.168.0.10, выдали по DHCP.

А я возьму и поменяю на: 192.168.0.11 и что тогда?

А тогда не долно ничего работать, даже сеть 192.168.0.x

Ну, про сеть 192.168.0.x — это ты лихо завернул ;). Настройкой одного компьютера (в данном случае, я про DHCP сервер) это ну никак не реализовать ;). Тебе проще отлавливать такие несоответствия IP-MAC с помощью какого-нибудь логгера (например, arpwatch) и идти резать провод негодяю ;))

А вот чтобы не было выхода в интернет — вполне реально сделать. Свой совет я уже сказал и другого пока в голову ничего не приходит.

anonymous

Спасибо за совет.

Genie

поставить управляемый свитч, от которого идут провода до клиентов.

на нём настроить указанную фильтрацию.

проблемы с подменой MAC, IP отпадут на корню.

ps: буквально вчера наткнулся на описание настройки разрешения выхода в инет через ldap. фильтровалось это дело by iptables.

только вот ссылку не сохранил… ааа.

с главной страницы LOR’а доступно.

anonymous

поставить управляемый свитч, от которого идут провода до клиентов.

на нём настроить указанную фильтрацию.

проблемы с подменой MAC, IP отпадут на корню.

Такой свитч у меня есть. Planet

Никогда не настраивал.

Попробую.

Еще вопрос.

У меня дви свича.

Один управляемый, другой нет.

Вот этот другой, все время виснет, раз в два-три дня.

Когда все работает нормально (обя свича) сеть тормозит.

Такое ощущение, странное.то тормозит, то нет.

Стоит ли менять этот свитч?

fly4life
Guest
Стоит ли менять этот свитч?

Если такая уверенность в этом:

Guest
Вот этот другой, все время виснет, раз в два-три дня.

То да, стОит.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.