Portál AbcLinuxu, 24. května 2024 08:07


Dotaz: Blokace nedynamicky přidělených ip adres

18.10.2011 04:10 lop
Blokace nedynamicky přidělených ip adres
Přečteno: 634×
Odpovědět | Admin
Dobrý den,

je nějaká možnost jak vynutit v síti používání ip adres, které byly přiděleny dhcp serverem? V síti jsou nějaké cisco managovatelné switche, ale mám pocit, že to všechno funguje na moc nízké síťové vrstvě než aby to mohlo sledovat komunikaci s dhcp serverem a na základě toho povolovat dané mac adresy pro komunikaci se zbytkem sítě. Je vůbec nějaké možnost, jak zakázat tyto statické ip adresy, aby nedocházelo ke kolizím?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

18.10.2011 08:08 NN
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Odpovědět | | Sbalit | Link | Blokovat | Admin
802.1x na switchich, nebo staticke leasy na DHCP ?

NN
18.10.2011 13:32 lop
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
802.1x používám, ale nemohu všude. Ty dhcp statické leasy nezabrání uživateli nastavit statickou ip adresu na svém pc. Možná by stačil nějaký daemon, co by komunikoval s dhcp serverem a blokoval na routeru do internetu všechny ne-dhcp přidělené ip adresy, aby si uživatel alespoň uvědomil, že má něco špatně.
18.10.2011 13:46 Sten
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Na to stačí firewall
18.10.2011 13:49 lop
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Však jo, firewall na routeru, ale jak to zprovoznit?
18.10.2011 18:06 Sten
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres 
iptables -P FORWARD DROP # Zablokuje vše, co není povolené
iptables -A FORWARD -s ip.ad.re.sa -m mac --mac-source ma:c_:ad:re:sa -j ACCEPT # Povolí počítač s danou MAC a IP adresou
18.10.2011 19:59 lop
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Myslel jsem jak zprovoznit komunikaci dhcp s routerem aby se to aktualizovalo automaticky po přidělení ip adresy dhcp serverem?
18.10.2011 15:23 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Odpovědět | | Sbalit | Link | Blokovat | Admin

No jsou-li to opravdu Cisco switche, tak zkuste prozkoumat chování příkazů

ip dhcp snooping
ip verify source
a třeba ještě
ip arp inspection
Určitě si vyberete :-)

18.10.2011 20:28 lop
Rozbalit Rozbalit vše Re: Blokace nedynamicky přidělených ip adres
Jo to vypadá zajímavě, díky. Zatím to ještě všechno nejsou cisco switche, ale postupně se to nahrazuje, takže to tam asi nasadím. Mimochodem existuje něco podobného i pro wifi APčka od cisca? V těch jejich datasheetech jsem našel jen podporu igmp snooping.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.