www.elektronik.si

frenki

Pozna kdo kako elegantno rešitev za to, da se omeji dostop do MS DHCP-ja samo na kliente z nekega seznama?

Lp, Frenki

Sokrat · Objavljeno: Ned Sep 09, 2007 10:10 pm Naslov sporočila:

Vprasanje je malce nenavadno: smisel DHCP je ravno v tem, da imajo vsi klienti, ki se predstavijo z neznanim naslovom (0.0.0.0) dostop do DHCP serverja. Ce tega ne zelis, potem postavis vmes firewall, ki mece stran tak promet. Ce zelis samo dostop z dolocenimi MACi, potem lahko naredis ali staticno ARP tabelo ali pa filtriranje prometa po MACih (iptables ali namenska naprava).

Malo vec napisi o zahtevah (kaksen seznam, torej na podlagi katerega kriterija bi rad kliente loceval).

BTW, upam, da tisti MS ne pomeni Microsoft Laughing

frenki · Objavljeno: Ned Sep 09, 2007 10:38 pm Naslov sporočila:

Sokrat · Objavljeno: Ned Sep 09, 2007 11:00 pm Naslov sporočila:

Po katerem kriteriju bi jim pa selektivno preprecil dostop, ce ne po IPju (ga se nimajo dolocenega), MACu ali fizicni povezavi (interface-u, preko katerega dostopa oddaljeni klient do DHCPja) ? Pocasi zmanjka moznih kriterijev Wink

Ce razumem pravilno, imas eno racunalo z Windowsi, na katerem tece DHCP daemon, ter mnozico potencialnih DHCP klientov, od katerih zelis dovoliti dostop do serverja samo nekaterim. Ali filtriraj eksplicitno po edini kolikortoliko unikatni oznaki, ki jo racunalniki imajo (= manj zanesljivo) ali pa mrezo fizicno loci v dva segmenta (npr. pol class C subneta vsaka), DHCP pa naj streze samo zahtevam, ki pridejo skozi en interface (firewall ti torej zmece stran DHCP zahteve, ki so prisle na drugi interface). To je bistveno bolj zanesljivo, zna pa biti kolobocija s kabli ... odvisno od tega kako imas napeljano.

sundancer · Objavljeno: Ned Sep 09, 2007 11:23 pm Naslov sporočila:

Naredi rezervacije v DHCPju za vse MAC naslove, ki zelis da imajo dostop. Recimo da imas 10 klientov popisanih. Naredis range IPjev npr 192.168.1.1 do 192.168.1.10 za te popisane MAC-e. Od 192.168.1.11 do 192.168.1.255 naredis exclude range in si zmagu.

Sokrat · Objavljeno: Pon Sep 10, 2007 8:33 am Naslov sporočila:

Napisal je, da jih ne zeli vezati na MAC naslov.

jur · Objavljeno: Pon Sep 10, 2007 8:53 am Naslov sporočila:

DHCP je broadcast promet. To pomeni, da je paket namenjen vsem. Na DHCP request običajno odgovarja le DHCP server. Tega se da naučiti nekaj malenkosti. Na primer address pool (naslovi, ki so na razpolago), address exceptions (naslovi, ki naj jih ne dodeljuje), pa to, kateremu MACu naj dodeli vedno enak IP naslov.

Če bi hotel omejevati seznam klientov, bi lahko dal na DHCP server en softwerski firewall, ki bi blokiral nekatere IPje.

Rezervacija MAC naslovov so zoprne. Nekdo zamenja računalnik, ali prinese novega, ali zamenja ethernet kartico. Potem se vsi (vključno z mrežnim administratorjem) čudijo, zakaj je nehalo delovati.

Jur