LINUX.ORG.RU

1. Не пускало в локалку со статическими айпишниками.

Это не задача DHCP сервера.

2. Был список ассоциаций вида MAC - IP.

В чем проблема? Возьми и сделай, это стандартный функционал.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Это не задача DHCP сервера.

А чья?

В чем проблема? Возьми и сделай, это стандартный функционал.

Ткни носом, плиз.

kostett ★★★
() автор топика
Ответ на: комментарий от kostett

1. Не пускало в локалку со статическими айпишниками.

Позалочивать ARP-таблицы на машинах локалки. Фаерваллом дропать всё от левых MAC-ов/IP не известных dhcp-серверу.

2. Был список ассоциаций вида MAC - IP

Описано в документации и есть в примерах конфигов.

varchar
()
Ответ на: комментарий от varchar

Позалочивать ARP-таблицы на машинах локалки. Фаерваллом дропать всё от левых MAC-ов/IP не известных dhcp-серверу.

Это, в лучшем случае, не будет пускать на сам девайс, на котором дхцп сервер. Локалке его файрволлы до барабана. Или ты предлагаешь лочить арп таблицы на всех машинах? :))

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от Turbid

у тебя же gtalk, а не джаббер. Я тебя добавляю, пытаюсь послать сообщение и получаю 503. Давай здесь? Думаю, многие будут благодарны.

kostett ★★★
() автор топика
Ответ на: комментарий от kostett

Ткни носом, плиз.

Let me google^W grep config for you :-)

admin@ns ~ $ cat /etc/dhcp/dhcpd.conf  | grep -m 1 host
host h609c01{hardware ethernet xx:0F:xx:2B:10:xx; fixed-address 10.xx.0.xx;}
Pinkbyte ★★★★★
()
Ответ на: комментарий от blind_oracle

Зависит от топологии сетки. Если dhcp-сервер - шлюз в локалку, достаточно будет связать фаер с dhcpd. Ну, а если в локалку можно сунуться где-угодно, то как без статичных арп-таблиц на всех машинках сети, запретить руками прописанные IP?

varchar
()
Ответ на: комментарий от varchar

то как без статичных арп-таблиц на всех машинках сети, запретить руками прописанные IP?

никак

Turbid ★★★★★
()
Ответ на: комментарий от varchar

Элементарно, у меня в сети они запрещены.

На Catalyst-ах настраивается DHCP Snooping и IP source guard, первый накапливает в памяти свича информацию о выданых лизах, а второй блокирует на портах любой траффик, кроме тех хостов, которым DHCP выдал адрес. Плюс дополнительно еще настраивается проверка и дроп некорректных ARP запросов и запрещается траффик между клиентскими портами, только клиент-сервер.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Элементарно
На Catalyst-ах настраивается

Конечно, но управляемый свич не у всех есть. Автор ни слова об этом, как и многом другом, не говорил. Вот и пляшем в заданных условиях.

varchar
()
Ответ на: комментарий от varchar

В таком случае, если есть такая необходимость, начальству выставляется счет на нужное оборудование. Каталист 2960 стомегабитный на 24 порта новый нынче стоит каких-то 25 т.р., это вполне потянет любая контора.

А всякие статические арп-таблицы на всех хостах в сети это какое-то явное неуважение к своему труду и вообще дикий изврат :)

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Неуважение к труду говоришь, да приди я с такой суммой на подпись к главному — и без такого, и вовсе без труда остался бы! Что ж, будем надеяться ТС в лучших условиях.

varchar
()
Ответ на: комментарий от varchar

Ну, значит тебя устраивают условия, в которых ты работаешь. А я считаю, что если бизнесу что-то нужно, то пусть он это покупает, а не финансирует ИТ по остаточному принципу. И работать в контору, где такие условия, не пойду.

Я, конечно, могу кучу костылей напридумывать, но потом во всём этом сам чёрт ногу сломит :)

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Лет 5 как вне iT. Не скажу, что там где работал раньше iT финансировалось по остаточному принципу, но везде был жёсткий контроль и неохотное выделение средств. Нужны были очень веские доводы вынужденности расходов. Всегда были «подумаем», «посоветуюсь» и т.п. от руководства. Вот посоветовался бы, услышал от кого-то раз:

Я, конечно, могу кучу костылей напридумывать

Услышал бы второй — прощай админ.

varchar
()
Ответ на: комментарий от varchar

Ну, такие конторы обычно в какой-то момент имеют ИТ-коллапс :) Удачи им, в общем.

blind_oracle ★★★★★
()
Ответ на: комментарий от Turbid

стукни в jabber (в профиле) - поделюсь скриптами

Скрипты надо класть в паблик, а не личную переписку устраивать.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

да ради б-га, приду домой - дам ссылки.

просто я думал что автору понадобятся какие-то комментарии к моим скриптам, ибо маны я для них не писал, к сожалению.

Turbid ★★★★★
()
Ответ на: комментарий от blind_oracle

я правильно понял, что при такой схеме, как вы описали - один порт = один клиент? не жирно на каждые 24 клиента держать по каталисту? чем эта схема лучше - один клиент = один vlan?

Turbid ★★★★★
()
Последнее исправление: Turbid (всего исправлений: 1)
Ответ на: комментарий от Turbid

собственно вот:

сам скрипт: http://pastebin.com/3yiKXr1H

пример заполнения файла hosts.xml: http://pastebin.com/8dYHJ2dB

ipset.init: http://pastebin.com/FAPXbDR2

суть в чем, был основной vlan, в котором находятся клиенты. при положительных атрибутах флагов voip - разрешен доступ (forwarding) в vlan с ip-телефонией, service - управляющий vlan (например, для админов), ext - выход в интернеты.

как видно, скрипт набивает соответствующим образом ipset'ы, которыми iptables рулит кого куда пускать. также заполняется /etc/dhcp/dhcpd.hosts в виде связок мак-ip.

да, это немного не то что хотел ТС, ибо хосты видят друг-друга. но может кому-то пригодится.

Turbid ★★★★★
()
Последнее исправление: Turbid (всего исправлений: 1)
Ответ на: комментарий от Turbid

Нет, хостов на порту, в принципе, может быть больше, но каждый из них для работы должен будет получить IP у DHCP сервера, иначе свич будет дропать его траффик на порту. Можно с помощью port-security ограничить кол-во маков на порту, но я этим не занимаюсь.

У меня обычно 1 клиент == 1 пользователь в офисе.

Зачем мне каждому пользователю выделять по влану? Я охренею эти вланы роутить и держать в порядке. Да и вланов 2960-ые каталисты держат не шибко много, 128 или около того.

У меня на каждого пользователя по два порта - один гигабитный для компьютера, второй - из POE-каталиста для IP-телефона. В некоторых случаях, когда доступна только одна розетка езернет, приходится компьютер подключать через IP-телефон, у которого встроеный трехпортовый свич и на порту каталиста разрешать VoIP-влан.

blind_oracle ★★★★★
()
21 апреля 2015 г.
Ответ на: комментарий от varchar

Фаерваллом дропать всё от левых MAC-ов/IP не известных dhcp-серверу

Не получится

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.