Архив форумов ЦИТФорума

[nnm2005]

Проблема такая - нужно "жёстко" привязать ip к mac адресу с помощью DHCP (во FreeBSD 5.2). Пробовал в /etc/dhcpd.conf прописывать
group {
host 192.168.17.208 { hardware ethernet 00:11:d8:c9:1b:40; fixed-address 192.168.17.208; }
}

И действительно, при следующем подключении этому macy присваивается нужный ip. НО!!! Во время отключения от сети ничто не мешает получить другому macy этот ip. Как связать их так, чтобы с другим macом получить этот ipшник было нельзя?

[Dmitry_Karpov]

Если ты говоришь, что любой юзер может статически прописать на своей машине этот IP-номер, то помешать ему невозможно. Правда, можно на сервере забить привязку IP->MAC командой arp с ключом '-s' или '-S' (хорошо сделать скрипт, который будет делать ARP-привязку по dhcpd.conf). Если добавить ключ 'public', то юзер получит сообщение о том, что данный IP-номер уже кем-то используется, т.к. твоя машина будет отвечать на ARP-запросы не только для своих IP-номеров (их м.б. несколько на одном интерфейсе), но и для чкжих IP-номеров, прописанных в ARP-таблице как публичные.

Другое дело, что все современные сетевые карты позволяют изменять MAC-адрес, так что привязка IP->MAC мало помогает от кулхацкеров. Хорошей привязкой считается вхождение в M$явный домен или коннект по VPN/PPPoE - и то, и другое делаеся по паролю, который хранится на компьютере. Но правильной политикой является учёт не по компьютерам, а по юзерам.
_________________
Хочу в Хогвардс преподавателем информатики.

[and3008]

Вы можете лишь частично решить эту проблему внеднив во всей сети безопасность на уровне VLAN, MAC, портов свича.
Т.е. на каждом свиче вручную указать какой IP на этом порту возможен.

Поддерживать это хозяйство очень тяжко, особенно если народ с ноутбуками носится по всем комнатам.

Правильное решение - авторизация на уровне пользователя и паролья при доступе к ресурсам.

[nnm2005]

Если юзер-кулхацкер просто изменит себе mac - это его не спасёт.
Проблема то в том чтобы он не занял уже занятые ipшники.
Просто к ip привязана биллинговая система. И ключом здесь будет mac. Так что чтобы систему взломать нужен mac другого легального клиента. А т к клиентов вообще не много то это проблематично. Все легальные связи MAC-ip хранятся в базе данных. Как сделать так чтобы нельзя было использовать резервированные ip? Т.е. dhcpd не выдавал при отсутствии клиентов их адреса?

[nnm2005]

Т е проблема только в том чтобы резервированные ipшники просто не выдавались демоном dhcpd. В мане есть раздел про классы. Как пользоваться классами в dhcpd.conf?
Этот файл мы можем перегенерять и вписывать туда всё что угодно.

[and3008]

Я ошибся. Вместо IP надо читать MAC.

Т.е. на свиче можно указать какие MAC-адреса возможны на этом порту. Если у вас еще и свитч позволяет фильтровать трафик на 3-ем уровне, то можете ограничить и по IP, но для этого прийдется внедрить VLAN.

Теперь, чтобы подменить IP нужен физический доступ к сетевому оборудованию.

Еще раз говорю, не ищите черную кошку в темной комнате, особенно когда ее там там нет.

[nnm2005]

Если кому кому интересно, то проблема решилась так:
dhcpd.conf:
#dhcpd config
default-lease-time 43200;
max-lease-time 86400;
ddns-update-style none;
class "client-1062727211" {
match pick-first-value (option dhcp-client-identifier,hardware);
}
subclass "client-1062727211" 1:00:11:D8:C9:1B:40;
class "client-1062727210" {
match pick-first-value (option dhcp-client-identifier,hardware);
}
subclass "client-1062727210" 1:00:11:D8:C9:1B:41;
subnet 192.168.17.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.17.254 ;
option domain-name "test.ru" ;
option routers 192.168.17.254 ;
pool {
allow members of "client-1062727211";
range 192.168.17.213 192.168.17.213;
}
pool {
allow members of "client-1062727210";
range 192.168.17.214 192.168.17.214;
}
pool {
allow unknown-clients;
range 192.168.17.200 192.168.17.212;
range 192.168.17.215 192.168.17.220;
}
}

________________________________________

Теперь dhcpd.conf не выдаст повторно ip. А от ручного изменения
имеется защита. Всем спасибо за внимание, концерт окончен

[Taras_]