Forum Debian Users Gang

karat611 · 2009-10-12 18:08:05

Witam,
poszukuję jakiegoś rozwiązania do sytuacji w której firewall i dhcp obsługuje kilka podsieci.
Niestety jeśli użytkownik wpisze sobie adres statycznie np 192.168.2.15 to i bramkę to łączy się z siecią. Jak mogę tego zabronić???

Z gry dziękuję za pomoc

BiExi · 2009-10-12 18:25:59

Na początek proponuje zapoznać się z
http://dug.net.pl/tekst/31/udostepnienie_polaczenia … owego_(masq)/

Ostatnio edytowany przez azhag (2009-10-15 11:28:45)

ba10 · 2009-10-13 07:32:12

Przypisać adres MAC do danego adresu IP.

karat611 · 2009-10-15 11:18:52

Niestety link podany przez matke przelozona nie działa.

Co do drugiej odpowiedzi już tak zrobiłem ale niestety musiałem ustawić maskę na większą ilość kompów.

azhag · 2009-10-15 11:29:22

karat611 napisał(-a):
Niestety link podany przez matke przelozona nie działa.

Automatyczny parser źle przerobił link, już działa.

blinki · 2009-10-17 15:28:40

iptables i piszemy regoły

Ostatnio edytowany przez blinki (2009-10-17 15:31:08)

mariaczi · 2009-10-20 13:38:58

Coś mi się wydaje, że koledze chodziło o włączenie NATa dla komputerów które otrzymają adres z serwera DHCP a te które mają wpisane statycznie nie będą miały wyjścia na świat.
Podpinam się pod ten temat :) Czy na uzyskanie powyższego efektu pozwoli jakaś (jaka?) opcja z serwera dhcp?
Pomijam rozwiązanie typu parser logów :)

djjanek · 2009-10-20 15:11:02

A może coś z wykorzystaniem pliku:

Kod:

/var/lib/dhcp3/dhcpd.leases

Ostatnio edytowany przez djjanek (2009-10-20 15:11:12)

Nicram · 2013-07-23 01:50:47

Chciałbym odświeżyć temat.
Czy ktoś już zrobił natowanie dopiero po podaniu adresu z dhcp?

Luc3k · 2013-07-23 09:07:41

Ja to robię w następujący sposób:

Kod:

iptables -t nat -A POSTROUTING -s 10.0.0.220/32 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.220/32 -m mac --mac-source 00:12:XX:XX:XX:XX -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.0.0.230/32 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.230/32 -m mac --mac-source 6C:F0:XX:XX:XX:XX -j ACCEPT

Każdemu adresowi przyporządkowuję mac adres.

jurgensen · 2013-07-23 09:21:59

Raczej nie da się tego osiągnąć na linuksowych dhcpd i iptables. Natomiast jeśli bardzo Ci na tym zależy, możesz zainsteresować się OpenBSD. Tamtejsza implementacja dhcpd, posiada opcję -L, która umożwilia zapisywanie każdej dzierżawy (oraz jej wygaśnieścia) do tabeli w PF. Wówczas bardzo łatwo można przeprowadzić takie filtrowanie. Fragment z manuala:

Kod:

     -L leased_ip_table
             When an address is leased dhcpd will insert it into the pf(4)
             table named leased_ip_table.  Addresses are removed from the
             table when the lease expires.  Combined with the table of
             abandoned addresses, this can help enforce a requirement to use
             DHCP on a network, or can place DHCP users in a different class
             of service.  Users are cautioned against placing much trust in
             Ethernet or IP addresses; ifconfig(8) can be used to trivially
             change the interface's address, and on a busy DHCP network, IP
             addresses will likely be quickly recycled.

Ostatnio edytowany przez jurgensen (2013-07-23 09:22:17)

Jacekalex · 2013-07-23 15:22:06

Da się.
Jeśli ktoś ustawi w dhcp dla każdego hosta odpowiedni Ip przypisany do mac, to można zrobić do tego tablicę ipseta
np:

Kod:

              
ipset create leasses bitmap:ip,mac range 192.168.0.0/16
ipset add leasses 192.168.1.1,12:34:56:78:9A:BC

Jeśli natomiast adresy nie są przypisane do IP, to sprawa jest trudniejsza, bo trzeba się bawić w parsowanie na żywo /var/lib/dhcpd/dhcpd.leases, albo logów serwera dhcp.
Czyli troszkę rzeźbienia jest.
Łatwiej będzie zrobić statyczną adresację w serwerze dhcp.

Wygląda na to, ze żadna magia z tym rzeźbieniem:
Wystarczy grepować DHCPPACK z sysloga, a potem:

Kod:

echo " localhost dhcpd: DHCPACK on 192.168.1.5 to 00:0d:62:d7:a0:12 via eth0"| awk '{print "ipset add leasses "$5","$7} '
ipset add leasses 192.168.1.5,00:0d:62:d7:a0:12

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-23 16:04:53)

Forum Debian Users Gang

Ogłoszenie

#1 2009-10-12 18:08:05

karat611 - Użytkownik

iptables + dhcp blokowanie adresów statycznych

#2 2009-10-12 18:25:59

BiExi - matka przelozona

Re: iptables + dhcp blokowanie adresów statycznych

#3 2009-10-13 07:32:12

ba10 - Członek DUG

Re: iptables + dhcp blokowanie adresów statycznych

#4 2009-10-15 11:18:52

karat611 - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

#5 2009-10-15 11:29:22

azhag - Admin łajza

Re: iptables + dhcp blokowanie adresów statycznych

karat611 napisał(-a):

#6 2009-10-17 15:28:40

blinki - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

#7 2009-10-20 13:38:58

mariaczi - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

#8 2009-10-20 15:11:02

djjanek - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

Kod:

#9 2013-07-23 01:50:47

Nicram - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

#10 2013-07-23 09:07:41

Luc3k - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

Kod:

#11 2013-07-23 09:21:59

jurgensen - Użytkownik

Re: iptables + dhcp blokowanie adresów statycznych

Kod:

#12 2013-07-23 15:22:06

Jacekalex - Podobno człowiek...;)

Re: iptables + dhcp blokowanie adresów statycznych

Kod:

Kod:

Stopka forum