AbcLinuxu:/ Poradna / Linuxová poradna / Vynucene prideleni IP dhcp serverem

Štítky: Bash, Debian, DHCP, distribuce, Ethernet, firewally, hardware, Internet, iptables, KDE, notebook, shelly, sítě

Dotaz: Vynucene prideleni IP dhcp serverem

27.4.2006 20:23 Adam.J | skóre: 4
Vynucene prideleni IP dhcp serverem

Přečteno: 340×

Odpovědět | Admin

Zdravim vsechny linuxaky,
kdysi jsem kdesi zahlednu, ze slo vynutit prideleni ip adresy dhcp serverem, ktery prideluje jen urcitym MAC dane IP. Proste teprve az se prideli adresa dhcp serverem teprve potom bude fungovat. Protoze jak se divam na /var/lib/dhcp/dhcpd.leases , tak "pevne" pridelene IP tam ani nejsou :(

PS: myslim, ze to slo udelat na novellackem serveru, ovsem jak to bylo udelane nevim.

Diky za napady.

Adam J.

Nástroje: Začni sledovat (3) ?

Odpovědi

27.4.2006 21:58 EiFFeL | skóre: 27 | blog: EiFFeL | Vranovská Ves
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

host xxxx {
        hardware ethernet 00:0E:9B:xx:xx:xx;
        fixed-address xxx.xxx.xxx.xxx;
}

takhle je to nejjednodusi... ale vsechno je v dhcpd.conf.sample

zabezpečení objektů a vozidel, kamerové systémy plastová a hliníková okna

28.4.2006 02:31 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

no jasne tohleto mam pro cca 20 uzivatelu(na danem segmentu), ovsem jde o to ze kdyz si nekdo nastavi IP adresu na xxx.xxx.xxx.xxx, tak mu to proste pojede, ze jo :) , ovsem ja chci aby si to _musel_ vzit z dhcp serveru, a tedy nemohl jen tak pouzivat ip adresu kterou si sam nastavi. Myslim, ze sekci host v dhcpd.conf nezabranim tomu aby si nekdo vzal tuto ip adresu.

mozna jde dhcp nejak propojit s iptables, ze kdyz prideli ip adresu, tak provede nejaky bash skript, ovsem jak to uz hledam 2 dny, a asi davam strejdovi googlovi spatne dotazy. ( jak uz jsem psal vyse /var/lib/dhcp/dhcpd.leasses nema "staticke" prideleni ip )

28.4.2006 07:07 spectrum | skóre: 29 | blog: spectrumblog
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Tohle nejde, aspoň na dhcp serveru.

28.4.2006 08:55 EiFFeL | skóre: 27 | blog: EiFFeL | Vranovská Ves
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

to bys musel nejak osetrit klienty - zakazat pristup do nastaveni site nebo tak nejak, jak napsal kolega prede mnou - to neni zalezitost serveru. jinak jeste pokud pouzijes parametr host nemusis pouzivat parametr range - tim osetris prideleni IP pouze PC, ktera maji znamou MAC pro DHCP server

zabezpečení objektů a vozidel, kamerové systémy plastová a hliníková okna

1.5.2006 12:21 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Myslim, ze slovo "nejde" se v linuxove komunite moc neujmulo ;)

28.4.2006 07:55 zahradnik | skóre: 6 | Nitra
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

moje zamyslenie sa: ako spominas, tak mas nastavenie pridelenie tych IP adries pre 20PC, to je OK, ale skus nastavit v conf nejaky rozsah,ktory sa prideluje pre MAC, ktore nie su v zozname... osobne mam na servri nastavene pridelenie IP adries pre existujuce MAC v rozsahu x.x.x.1-x.x.x.99 a pre zariadenia, ktore nie su na zozname pridelujem IP x.x.x.101-x.x.x.x.150 . Takto sa stane, ze ked si sef donesie notebook, a pripoji sa do siete, tak dostane IP adresu z rozsahu 101-150... (to funguje) a mozno by sa potom dalo osetrit, neviem sice kde, ze adresy z rozsahu 101-150 nepusti niekam do siete, alebo im obmedzit pravomoci a tak pod. (toto nemam odskusane, nezamyslal som sa doteraz nad tym)

(som iba zaciatocnik v linuxe, ale snazim sa :-)

)

30.4.2006 22:03 DarkLogic | skóre: 8
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Presne toto jsem potreboval take. Reseni bylo takove, ze DHCP prideli IP podle MAC adresy. No a pak v iptables jsou jeste radky, ktere kontroluji shodu IP a MAC. Pokud nesedi, tak takova data zahodi.

30.4.2006 22:22 Honza637 | skóre: 7
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Zdravím, chtěl bych se optat jak vypadají ty řádky, které jsou použity pro iptables aby porovnávaly IP a mac? díky

1.5.2006 00:09 billgates | skóre: 27
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

iptables -A FORWARD -j ACCEPT -m mac --mac 00:11:22:33:44:55 -p tcp -s 1.2.3.4

1.5.2006 12:25 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Myslim, ze tohleto urcite taky vyuziju, tedy predpokladejme ze mam v dhcp zaznam pro hosta ze mac 00:11:22:33:44:55 dostane ip 1.2.3.4 , ale jak v iptables poznam jestli si to ten clovek vzal z dhcp ? (chci aby si to NEnastavovali rucne)

1.5.2006 12:29 Lubos Kopecky | skóre: 32
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

podivas se do dhcpd.leases

1.5.2006 12:45 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

At se divam jak se divam, tak tam vidim( v /var/lib/dhcp/dhcpd.leases) jen dynamicke prideleni, to co je pridelene "podle mac da ip" tam nevidim, pouzivam debian sarge dhcp/stable uptodate 2.0pl5-19.1 , zeby ve vyssi verzi uz tam bylo i "staticke prideleni"(pres dhcp) ?

1.5.2006 12:20 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Ano sice to iptables kontroluji, ovsem uz se neda zkontrolovat, jestli to dhcp upravdu pridelil, nebo jestli si to ten uzivatel sam nastavil

1.5.2006 12:29 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Na druhé straně, to už je asi jedno, ne? Pokud správný klient (ve smyslu MAC adresy) používá správnou IP adresu, je už celkem irelevantní, jestli to nastavil ručně nebo prostřednictvím DHCP, ne?

Šlo by to samozřejmě taky ošetřit. Byla by "shůry dána" tabulka dvojic MAC/IP, ovšem do iptables by se nepřenášela "slepě", ale prostřednictvím nějakého cronem spouštěného skriptu, který by kontroloval /var/lib/dhcp/dhcp.leases a ověřoval by, že je líz dané IP pro danou MAC platný. Ve světle předchozího odstavce ale nevidím užitečnost takového postupu...

1.5.2006 12:53 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

ano presne neco takoveho, ovsem jak uz jsem tady nekde psal, v /var/lib/dhcp/dhcp.leases nejsou zobraneny zaznamy o statickem prideleni dhcp sereverem (podle mac dej ip), mozna to je verzi dhcp, jinak nevim

1.5.2006 12:31 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Myslim, ze jedno z reseni je kdyz prideluje dhcp server klientovi ip adresu, tak provest nejaky skript. No a cele to potom bude fungovat tak, ze v iptables bude povoleny jen porty na dhcp(resp jeste neco jako ping na gateway) a teprve kdyz dhcp server prideli hostu nejakou ip, tak se provede skript, ktery povoli dvojici ip a mac, aby mohla "normalne" komunikovat.

jediny drobny zadrhel je jestli dhcp server muze spustit bash skript na zaklade udalosti prideleni adresy

1.5.2006 12:35 billgates | skóre: 27
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Dobry napad, je to celkom elegantne. Ak tam podpora na spustanie skriptov este nie je, tak to treba proste doprogramovat. Open source je tu presne na to.

1.5.2006 12:40 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Nestačí spouštět něco při přidělení, musíte ošetřit také expiraci adresy. Ale jde to, viz man dhcpd.conf sekce EVENTS

1.5.2006 12:48 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

"Ale jde to, viz man dhcpd.conf sekce EVENTS" presne toto jsem potreboval, jediny problem asi je mym dhcp, proste to v man neni :( (daval jsem man dhcpd.conf a /EVENTS a ani /events) , tak bych se rad zeptal v ktere verzi toto je ? (nekde vyse jsem napsal presne verzi kterou pouzivam)

1.5.2006 12:56 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

# dhcpd -v
Internet Systems Consortium DHCP Server V3.0.1
...

1.5.2006 13:00 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

tak se divam ze dhcp3-server je i balicek v debianu-sarge , takze asi mam stesti :)

1.5.2006 12:57 Adam.J | skóre: 4
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

nebo jestli bych mohl poprosit o zobrazeni dane sekce tady na foru(pokud to neni moc velke)

1.5.2006 13:01 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Vynucene prideleni IP dhcp serverem

Lze se nadít, že pokud o této feature mlčí manuálové stránky vašeho dhcpd, nebude je vámi používaná verze umět. Tudíž je vám docela naprd, abych tu copypastoval něco, co stejně nemáte jak použít :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: