Portál AbcLinuxu, 12. května 2025 13:15

Dotaz: DHCP vs statická IP adresa

6.8.2013 01:08 Pavel | skóre: 17
DHCP vs statická IP adresa
Přečteno: 658×
Odpovědět | Admin
Zdravím, chtěl bych udělat jednoduchý FW, aby se uživatelé se statickou IP adresou nemohli připojit, napadlo mi to udělat tak, že pokud uživatel bude chtít se připojit a nebude mít v IPtables záznam s aktuální IP, tak se zeptám DHCP serveru zda je tato adresa obsazená, pokud ano přidám záznam. Poté pravidelně třeba po 5 minutach budu mazat tyto záznamy. Moje otázka zní, bude to takto fungovat? Je to jednoduché řešení, nebo je elegantnější řešení?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

6.8.2013 08:24 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ahoj, jak poznas ze uz nekdo odesel aby jsi mu odebral pravidlo z FW? DHCP propujčuje adresu na predem nastaveny cas, a po tento cas je IP zablokovaná, client ji nijak neodhlašuje. Jak potom chceš zaručit aby si někdo nenastavil adresu ručne na takovou ktera je blokovana u DHCP? Jinak DHCPD to pěkně v dhcp.leases uklada pekne za sebou, a snad ani neodmazává, musel by jsi tedy vyčítat i časy, aby jsi zjistil zda je zápůjčka jěšte platná či nikoliv.
6.8.2013 13:49 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
Nepředpokládam že by si klient měnil IP několikrát denně. DHCP čas nastavím třeba na 5 minut. Pokud si někdo nastaví stejnou statickou, jako je již dynamická, není to věc FW, ale je to třeba ošetřit jinak.
6.8.2013 14:42 Ivan
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
ISC DHCP server ma tendenci pridelovat uzivateli porad tu samou adresu - donutit ho k necemu jinymu dost dost oslivy hack.

Navic te uzivatele "zabijou", zadne TCP spojeni jim nevydrzi dele nez 5 minut.
6.8.2013 14:43 Ivan
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
Tak zpet. Spatne jsem si precetl tvuj komentar.
6.8.2013 08:49 Ivan
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tohle umi nektere Cisco switche bud prostrednictnim 802.1x. Podobne jako u Wifi - kdo se neprihlasi, tak nesituje. Tohle bezpecnejsi ale vyzaduje to nastaveni na klientovi (nejlepe pres AD).

Druha moznost je "identity based networking" - ulozis si na switch sablonu FW pravidla, switch propusti pouze DHCP packet. A az prijde odpoved z dhcp serveru, tak switch doplni IPcko do sablony a nastavi to pravidlo na port. Ve vysledku uzivatel muze pouzivat pouze IPcko, ktere dostal od DHCP serveru.

6.8.2013 13:45 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
V celku zajímavé řešení, díky
6.8.2013 14:37 NN
Rozbalit Rozbalit vše Re: DHCP vs statická IP adresa
Vetsina rozumnych prepinacu s managementem 802.1x podporuje, u bezdratovych zarizeni je to vicemene bezna vec. Nasazeni RADIUS(napr. freeradius) sice neni trivialni, ale umoznuje celkem komplexni integraci dalsich zarizeni do budoucna. Napriklad intergraci prihlasovani podle uctu v AD, nebo autentizace proxy atd.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.