[Sysadmins] dhcp раздача IP только известным MAC

[Sysadmins] dhcp раздача IP только известным MAC

[Коротков Георгий]

как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
без жесткой привязки MAC - IP

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Maxim Tyurin]

Коротков Георгий writes:

> как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
> без жесткой привязки MAC - IP

Разрешить определенные MAC адреса в iptables. Остальные запретить.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Коротков Георгий]

Maxim Tyurin пишет:
> Коротков Георгий writes:
>
>   
>> как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
>> без жесткой привязки MAC - IP
>>     
>
> Разрешить определенные MAC адреса в iptables. Остальные запретить.
>   
сурово, из пушки по воробьям
получается нужен отдельный сервер тогда для dhcp

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Maxim Tyurin]

Коротков Георгий writes:

> Maxim Tyurin пишет:
>> Коротков Георгий writes:
>>
>>   
>>> как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
>>> без жесткой привязки MAC - IP
>>>     
>>
>> Разрешить определенные MAC адреса в iptables. Остальные запретить.
>>   
> сурово, из пушки по воробьям
> получается нужен отдельный сервер тогда для dhcp

Совсем не обязательно
dhcp это udp порт 67-68
iptables -I INPUT -i $LAN_IFACE -p UDP --sport 67:68 --dport 67:68 ...

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] dhcp ÒÁÚÄÁÞÁ IP ÔÏÌØËÏ ÉÚ×ÅÓÔÎÙÍ MAC

[MisHel64]

Здравствуйте, Коротков.

Вы писали 6 июля 2009 г., 11:37:22:

> как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
> без жесткой привязки MAC - IP

А если определить хост, указать ему мак, но не присваивать ип,
а дальше через пул для известных.
Не работает?

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Коротков Георгий]

Maxim Tyurin пишет:
>
>
> Совсем не обязательно
> dhcp это udp порт 67-68
> iptables -I INPUT -i $LAN_IFACE -p UDP --sport 67:68 --dport 67:68 ...
>
>   
не работает запрещение, похоже dhcp плевать на дропы


-- 
с уважением,
Коротков Георгий Владимирович,

Самарский ИТЦ, нач.сектора IT
phone: (846)-270-66-24
e-mail: george@eor.samara.ru
icq:	70789676
cell:	(846)-267-12-77

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Maxim Tyurin]

Коротков Георгий writes:

> Maxim Tyurin пишет:
>>
>>
>> Совсем не обязательно
>> dhcp это udp порт 67-68
>> iptables -I INPUT -i $LAN_IFACE -p UDP --sport 67:68 --dport 67:68 ...
>>
>>   
> не работает запрещение, похоже dhcp плевать на дропы

Не работает :(
Он еще raw использует.

Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к MAC
для нужных клиентов, а остальным выдавать левый адрес.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Olvin]

Maxim Tyurin wrote:
>> не работает запрещение, похоже dhcp плевать на дропы
> 
> Не работает :(
> Он еще raw использует.
> 
> Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к MAC
> для нужных клиентов, а остальным выдавать левый адрес.

Левый клиент может сам запросить зарезервированный IP-адрес, и, несмотря 
на привязку к совсем другому MAC'у, DHCP-сервер от ISC отдаст запрошенное.

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Коротков Георгий]

Olvin пишет:
>> Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к MAC
>> для нужных клиентов, а остальным выдавать левый адрес.
>
> Левый клиент может сам запросить зарезервированный IP-адрес, и, 
> несмотря на привязку к совсем другому MAC'у, DHCP-сервер от ISC отдаст 
> запрошенное.
а что есть не от ISC, удовлетворяющий поставленным условиям?

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Olvin]

> Olvin пишет:
> >> Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к 
MAC
> >> для нужных клиентов, а остальным выдавать левый адрес.
> >
> > Левый клиент может сам запросить зарезервированный IP-адрес, и,
> > несмотря на привязку к совсем другому MAC'у, DHCP-сервер от ISC 
отдаст
> > запрошенное.
> а что есть не от ISC, удовлетворяющий поставленным условиям?

Поправка: если резервировать IP не из пула автоматической выдачи, то всё 
нормально. Пример: пул для автоматической выдачи: 172.17.2.30-254, 
резервируем IP 172.17.2.28. Тогда этот IP сможет запросить только 
компьютер с MAC-адресом, за которым этот IP закреплён.

Вроде бы, так.

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Dmitriy Kruglikov]

8 июля 2009 г. 10:20 пользователь Olvin  написал:

> Поправка: если резервировать IP не из пула автоматической выдачи, то всё
> нормально. Пример: пул для автоматической выдачи: 172.17.2.30-254,
> резервируем IP 172.17.2.28. Тогда этот IP сможет запросить только компьютер
> с MAC-адресом, за которым этот IP закреплён.
>
> Вроде бы, так.

Остается задать пул минимальный и средствами iptables запретить этому
пулу дышать и размножаться...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Коротков Георгий]

>
>> как сделать чтобы сервер dhcp обслуживал только определенные MAC адреса
>> без жесткой привязки MAC - IP
>>     
>
> А если определить хост, указать ему мак, но не присваивать ип,
> а дальше через пул для известных.
> Не работает?
>
>   
работает! спсб за наводку, почему я сразу так не начал делать :)
вот рабочий конфиг
в пуле из 2х адресов выдается первый свободный
для 3х известных MAC
если пул занят (фактически или по времени lease) -  третьему известному 
"обломись", всем остальным "обломись" и подавно

option domain-name "mygoup";
option domain-name-servers 192.168.0.1;
option routers 192.168.0.2;
ddns-update-style none;
default-lease-time 14400;
subnet 192.168.0.0 netmask 255.255.255.0 {
  range 192.168.0.20 192.168.0.21;
  deny unknown-clients;
  default-lease-time 14400;
  max-lease-time 172800;

  host buk1 {
    hardware ethernet 00:1C:25:A2:C3:05;
  }
  host buk2 {
    hardware ethernet 00:1B:38:12:30:92;
  }
  host buk3 {
    hardware ethernet 00:24:8c:05:9c:62;
  }
}

Единственно - напрягает копипаст конструкции host
Никак нельзя считать MAC просто из текстового файла?

Re: [Sysadmins] dhcp раздача IP только известным MAC

[George V. Kouryachy]

On Wed, Jul 08, 2009 at 06:13:42PM +0500, Коротков Георгий wrote:
>  host buk1 {
>    hardware ethernet 00:1C:25:A2:C3:05;
>  }
>  host buk2 {
>    hardware ethernet 00:1B:38:12:30:92;
>  }
>  host buk3 {
>    hardware ethernet 00:24:8c:05:9c:62;
>  }
> }
> 
> Единственно - напрягает копипаст конструкции host
> Никак нельзя считать MAC просто из текстового файла?
N=1; while read s; do echo "host buk$N { hardware ethernet $s; }"; let N=N+1; done < текстовый_файл

В vim вообще одной командой можно это вставить:
:/host buk1 /,/^}/!всё_то_же_самое

И команду эту прямо в конфиге в комментариях сохранить, чтобы не париться потом.

-- 
			George V. Kouryachy (aka Fr. Br. George)
			mailto:george at altlinux_org

Re: [Sysadmins] dhcp раздача IP только известным MAC

[Michael Shigorin]

On Wed, Jul 08, 2009 at 11:20:28AM +0400, Olvin   wrote:
> Поправка: если резервировать IP не из пула автоматической
> выдачи, то всё нормально. Пример: пул для автоматической
> выдачи: 172.17.2.30-254, резервируем IP 172.17.2.28. Тогда этот
> IP сможет запросить только компьютер с MAC-адресом, за которым
> этот IP закреплён.

Так кто ж из пула резервирует?!

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/