Printable View
Zdar,
má otázka je v podstatě jednoduchá. Chtěl bych spojit dhcp server s iptables (spíš) nebo s arp, tak aby se na síť (internet) nedostal nikdo kdo nemá ip adresu přidělenou od dhcp (nastaví si ji ručně). Doufám že nějaké řešení se najde. Předem děkuji za každé nakopnutí správným směrem.
No v pripade, ze im staticky pridelujes IP adresy na zaklade MAC adries, tak by som preparsoval dhcpd konfigurak na tieto dvojice a napr sed-om doplnil direktivy pre iptables a takyto skript spustil.
Ak su IP adresy pridelovane dynamicky, tak vsetky prenajmy najdes v jednom "log" subore. Ak je to dhcpd od ISC tak lease file bude asi tento /var/lib/dhcpd/dhcpd.leases (ale mozno v inom podadresari). A tento file preparsovat... je tam IP aj MAC. A pri kazdej zmene velkosti alebo datumu poslednej upravy proceduru opakovat.
Neviem o nejakom existujucom rieseni co by to riesilo... dovod je mozno aj ten, ze toto nieje idealny sposob riadenia pristupu clientov do netu.
OK, takze preparsovat konfigurak je jedina moznost? dobre dík moc
Ještě dotaz:
Proč?Citace:
Původně odeslal TiMEoS
v pripade statickych MAC<->IP zaznamov staci jednu z kombinacii odchytit a v pripade volnosti IP sa da jednoducho pouzit a brazdit netom.Citace:
Původně odeslal Gregy
v pripade dynamickych je problem trvacnosti zaznamov v lease zaznamoch, a teda pridelenie IP pre danu MAC je registrovane stale dlho po tom ako je dany PC zo siete vypnute.
A v oboch pripadoch nieje problem minimalne rucne nastavit IP, ktora bude v kolizii a robit bordel na sieti a tym zneprijemnovat zivot legitimnym clientom.
Politika riadenia pristupu k urcitej sluzbe/sieti sa vacsinou robi na aplikacnej vrstve, teda vo forme zadavania mena/hesla alebo certifikatmi teda konkretne napr cez proxy servery (s autentifikaciou voci nejakemu adresaru/databaze uzivatelov) pripadne cez radius server, ale su aj dalsie moznosti (vpn v pripade pristupu ku sieti/hostu), hlavne firemne proprietarne. Niektore z nich mozu v pripade uspesneho prihlasenia aj tak spolupracovat s firewallom ale jedna sa ciste riesenie s okamztou akciou a reakciou a pod.
Ale problem kontroly a riadenia pristupu k sietovym sluzbam zalozenych na ethernete je celkovo problematicky uz so samotnej podstaty ethernetu ako technologie bez ziadnej moznosti bezpecnosti.
Jo, jasně, takhle je to ideál. Pro mě bohatě stačí kontrola podle MAC->IP. Ještě jednou dík