LINUX.ORG.RU
ФорумAdmin

Левый DHCP


0

1

Подскажите как подавить работающий ложный DHCP сервер в сети? Где-то слышал что есть софтина, которая при обнаружении DHCP сервера «вычерпывает» у него пул адресов. Может кто сталкивался?


если он из соседнего офиса то фаерволом

Протокол DHCP является клиент-серверным, то есть в его работе участвуют клиент DHCP и сервер DHCP. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

anykey_mlya
()
Ответ на: комментарий от zus

Я укакакаюсь это делать :) их дохрена....

Значит, надо пересмотреть организацию сети.

power
()
Ответ на: комментарий от power

>>Ты перед каждой машиной фаервол ставишь? :)

а ты на каждом принтсервере dhcp включаешь?

я думал у него типа двух офисов соединённых сеткой в каждом из которых свой...

anykey_mlya
()
Ответ на: комментарий от power

>Физически :)

Полностью согласен. Бороться с ними программно - извращение. Нужно найти каждого юзверя, устроившего это безобразие, и вежливо сказать «Вася, ты не прав!»

router ★★★★★
()
Ответ на: комментарий от anykey_mlya

а ты на каждом принтсервере dhcp включаешь?

Прикинь, везде где можно. А как иначе: половина устройств со статическим адресом, остальные с динамическим?

я думал у него типа двух офисов соединённых сеткой в каждом из которых свой...

DHCP работает в пределах одной сети ;)

power
()
Ответ на: комментарий от power

>>DHCP работает в пределах одной сети ;)

а почему у них не может быть одна сеть?

Прикинь, везде где можно. А как иначе: половина устройств со статическим адресом, остальные с динамическим?

вы это...бросайте свой lisp

anykey_mlya
()
Ответ на: комментарий от anykey_mlya

а почему у них не может быть одна сеть?

Прикалываешься что-ли? Одна сеть и фаервол между кабинетами?

вы это...бросайте свой lisp

Жену свою учи картриджи заправлять, эникей, мля.

power
()
Ответ на: комментарий от pr0mille

Да ближе уже некуда :) , просто колец несколько десятков. Поэтому и встал вопрос о программном подавителе

zus
() автор топика
Ответ на: комментарий от zus

>Да ближе уже некуда :)

т.е. ? что на доступе ?

dhcdrop хорошая вещь, но это не панацея,а лишь костыль на время и хороший инструмент для дебага. Нужно дробить сеть на сегменты, на доступе было достаточно интеллектуальное оборудование, идеальный вариант которое умеет Dhcp snooping, arp inspection,ip source guard ( если не нужен трафик между станциями то еще и изоляция портов).

а вод внутри L2 кольца бардак.

просто колец несколько десятков

не совсем понятно, что за бардак,что вас смущает?

pr0mille
()

А чем не устраивают правила на свичах, блокирующие dhcp-серверы?

В любом случае любая подобная софтина это мега костыль. Лучше вычислить негодяя и отключить у него dhcp. Мы в своё время так делали в сети, отрубая по сегменту для локализации левого dhcp-сервера.

А, вообще, конечно, acl на свичах рулят. Сейчас у себя позакрывали и dhcp и netbios - песня.

Lego_12239 ★★
()
Ответ на: комментарий от zus

Дык, маленько не понял. Если access-свичи не тупые, тогда снупинг настраивается на каждом. Там в худшем случае в каждый конфиг придется четыре строчки добавить. trust только для аплинков, и забыть о проблемах. 300+ свичей, полет нормальный.

gaestur
()
Ответ на: комментарий от pr0mille

Перед кольцами стоят циски вот они и снупят dhcp, а вот дальше весьма специфичное оборудование типа DSLAM и т.д., обьедененное в кольцо. Чистый L2 (конечно все побито на vlanы), но вот это оборудование криво отрабатывает снупинг. Да я понимаю что это костыль, но пока вендоры не починят прошивки на своих поделках думаю пустить dhcpdrop. Пакеты через циски в ядро сети не проходят, задача внутри кольца подавить их.

zus
() автор топика

У dhcpcd была опция, позволяющая заблэклистить «левый» DHCP-сервер. В dhclient'е есть опция, позволяющая указать IP-адрес правильного DHCP-сервера.

Deleted
()
Ответ на: комментарий от zus

Ну тогда действительно - только сервер как-нибудь выключать...

Deleted
()
Ответ на: комментарий от power

>>Прикалываешься что-ли? Одна сеть и фаервол между кабинетами?

ну кабинеты разными бывают, а еще бывают «умные» свитчи

Жену свою учи картриджи заправлять, эникей, мля.

я сам не умею

anykey_mlya
()
Ответ на: комментарий от zus

DSLAM, который не умеет dhcp-snooping и не позволяет изолировать клиентов? Ну, раз ситуация НАСТОЛЬКО печальная, то может PPPoE каждому клиенту и пофигу на левые dhcp-сервера?

spunky ★★
()
Ответ на: комментарий от spunky

или всех в отдельные vlan-ы и дотягивай до контролируемых сегментов.

spunky ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.