Zdravim potrebujem vyriesit nasledujuci probs:
- mam nakonfigurovany DHCP server dhcp3 (na Debiane),
- mam napisany dhcp.conf skoro vsetko funguje ale ...
- DHCP prideluje fixne IP adresy v rozsahu stanovenom v dhcp.conf subore na
zaklade MAC adresy sietovej karty,
- mam vytvoreny subor /etc/ethers
XX:XX:XX:XX:XX:XX 192.168.2.22
XX:XX:XX:XX:XX:XX 192.168.2.23
atd....
zadal som arp -f /etc/ethers
Otazka: Ako dosiahnem aby dhcp server pridelil IP adresu iba PC s MAC adresou uvedenou v /etc/ethers, pretoze v sucasnosti dostane IP adresu kazdy PC, ktori sa pripoji na HUB a nastavisi automaticke pridelovanie IP adresy. Tomuto chcem zabranit + chcem dosiahnut aj to aby urciti klienti na net mohli a iny zas nie. Dakujem vsetkym ktori pomozu.
Soubor /etc/ethers je neco jako /etc/hosts jen na L2 vrstve (ano, muzete si pojmenovat MAC adresu, vizte tcpdump(1)). Navic je jej mozne pouzit k zadani trvalych zaznamu do ARP cache (jak jste ucinil vy).
Ale s DHCP serverem to nema nic spolecneho. Pokud pouzvate DHCP demona od ISC, pridejte do sekce subnet volbu deny dynamic;.
Do sekcie subnet v dhcpd.conf som pridal deny unknown-clients; na zaklade toho ty klienti ktori nie su uvedeny {MAC adresa} v dhcpd.conf nedostanu pridelenu adresu. Toto je vyriesene. Ale ako zabranit pristupu na net tym, ktori si natukaju IP, branu a DNS server rucne ????
Asi jste uz prisel na to, ze podvrhnout MAC adresu nebo IP adresu neni problem. Takze je vam jasne, ze tudy cesta nevede. Klienti se musi autentizovat pomoci nejakeho tajemstvi.
Na to muzete pouzit 802.1X nebo IPsec nebo nejaky typ VPN. Jinak to nejde.
Já používám vazbu MAC x IP v iptables. Vím, že to není 100% ale stačí to, když si někdo nastaví IP ručně, tak musí ještě přijít na to, jakou to má mít MAC. V praxi se mi to zatím osvědčilo a nemusel jsem to řešit jinak.
Každý problém ma své logické, snadno pochopitelné nesprávné řešení.