samba Napisano Sierpień 13, 2010 Zgłoszenie Share Napisano Sierpień 13, 2010 Witam Chcę zrobić zabezpieczenie dhcp aby nieznani klienci spoza listy dozwolonych adresów IP/MAC byli przekierowywani np. na stronę z informacją że ich próba została odnotowana w systemie a karta sieciowa nie jest autoryzowana itd. Serwer na którym chodzi dhcp - >10.10.10.1/24 Co chciałbym osiągnąć. klienci o adresach 10.10.10.140-10.10.10.180 to zaufani klienci dla których będą wpisane adresy mac w sekcji host (dhcp.conf). Wszyscy spoza lub klienci o nieznanych mac mają dostać adresy z puli np. 192.168.2.2-192.168.2.30 (innej podsieci) oraz mają być przekierowani na stronę (10.10.10.1 na virtualhost) z informacją o braku autoryzacji. Pytanie jaki adres bramy ustawić dla tych klientów ? I czy strona będzie osiągalna jeśli dhcp ustali im adresy z innej podsieci ? Czy można to rozwiązać w jakiś sposób np redirect na iptables czy jest coś łatwiejszego ? Jak coś takiego osiągnąć ? Może jest jakiś program /skrypt o którym nie wiem? Czy dhcp da się w dzisiejszych czasach zabezpieczyć kiedy można zmienić sobie mac/ IP/Maskę ręcznie ?? Zabezpieczenie oparte na mac dhcp+iptables (lista dozwolonych mac w sekcji host oraz te same adresy mac w iptables) to dużo pisaniny chyba że ktoś z was zna jakiś programik GUI gdzie komfortowo można wpisać mac?? W dokumentacji dhcp znalazłem wpis deny unknown-clients; Czy mam rozumieć że każdy adres mac nie wpisany w sekcji host nie dostanie adresu IP ? Co zrobi wtedy dhcp? Co jeszcze mogę dodać by maksymalnie zabezpieczyć dhcp i jak zabezpieczyć się przed podszywaniem ? Mój dhcp.conf default-lease-time 28800; max-lease-time 28900; option netbios-name-servers 10.10.10.1; option domain-name-servers 10.10.10.1; option netbios-node-type 8; option ntp-servers 10.10.10.1; option subnet-mask 255.255.255.0; ddns-update-style interim; authoritative; dhcpd_interfaces="eth1"; deny unknown-clients; subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.140 10.10.10.180; } host komp1 { hardware ethernet 00:1c:c0:7e:c0:03; fixed-address 10.10.10.145; }deny unknown-clients; Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się