Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables + dhcp blokowanie adresów statycznych
#1 2009-10-12 18:08:05
karat611 - Użytkownik
- karat611
- Użytkownik
- Zarejestrowany: 2009-10-02
iptables + dhcp blokowanie adresów statycznych
Witam,
poszukuję jakiegoś rozwiązania do sytuacji w której firewall i dhcp obsługuje kilka podsieci.
Niestety jeśli użytkownik wpisze sobie adres statycznie np 192.168.2.15 to i bramkę to łączy się z siecią. Jak mogę tego zabronić???
Z gry dziękuję za pomoc
Offline
#2 2009-10-12 18:25:59
BiExi - 
matka przelozona
Re: iptables + dhcp blokowanie adresów statycznych
Na początek proponuje zapoznać się z
[url]http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_(masq)/[/url]
Ostatnio edytowany przez azhag (2009-10-15 11:28:45)
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#3 2009-10-13 07:32:12
ba10 - Członek DUG
Re: iptables + dhcp blokowanie adresów statycznych
Przypisać adres MAC do danego adresu IP.
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#4 2009-10-15 11:18:52
karat611 - Użytkownik
- karat611
- Użytkownik
- Zarejestrowany: 2009-10-02
Re: iptables + dhcp blokowanie adresów statycznych
Niestety link podany przez matke przelozona nie działa.
Co do drugiej odpowiedzi już tak zrobiłem ale niestety musiałem ustawić maskę na większą ilość kompów.
Offline
#5 2009-10-15 11:29:22
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: iptables + dhcp blokowanie adresów statycznych
[quote=karat611]Niestety link podany przez matke przelozona nie działa.[/quote]
Automatyczny parser źle przerobił link, już działa.
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
#6 2009-10-17 15:28:40
blinki - Użytkownik
Re: iptables + dhcp blokowanie adresów statycznych
iptables i piszemy regoły
Ostatnio edytowany przez blinki (2009-10-17 15:31:08)
Platforma Systemowa: Debian 5.0 lenny | KDE 4.3.2
PC: FS Amilo li 3710 | DualCore 2.0GHz/3GB/Intel GMA X4500
Przeglądarka: Opera (Firefox sux^^)
Offline
#7 2009-10-20 13:38:58
mariaczi - Użytkownik
- mariaczi
- Użytkownik
- Zarejestrowany: 2007-10-02
Re: iptables + dhcp blokowanie adresów statycznych
Coś mi się wydaje, że koledze chodziło o włączenie NATa dla komputerów które otrzymają adres z serwera DHCP a te które mają wpisane statycznie nie będą miały wyjścia na świat.
Podpinam się pod ten temat :) Czy na uzyskanie powyższego efektu pozwoli jakaś (jaka?) opcja z serwera dhcp?
Pomijam rozwiązanie typu parser logów :)
Offline
#8 2009-10-20 15:11:02
djjanek - Użytkownik
#9 2013-07-23 01:50:47
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: iptables + dhcp blokowanie adresów statycznych
Chciałbym odświeżyć temat.
Czy ktoś już zrobił natowanie dopiero po podaniu adresu z dhcp?
Offline
#10 2013-07-23 09:07:41
Luc3k - Użytkownik
Re: iptables + dhcp blokowanie adresów statycznych
Ja to robię w następujący sposób:
Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.220/32 -j MASQUERADE iptables -A FORWARD -s 10.0.0.220/32 -m mac --mac-source 00:12:XX:XX:XX:XX -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.230/32 -j MASQUERADE iptables -A FORWARD -s 10.0.0.230/32 -m mac --mac-source 6C:F0:XX:XX:XX:XX -j ACCEPT
Każdemu adresowi przyporządkowuję mac adres.
Offline
#11 2013-07-23 09:21:59
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: iptables + dhcp blokowanie adresów statycznych
Raczej nie da się tego osiągnąć na linuksowych dhcpd i iptables. Natomiast jeśli bardzo Ci na tym zależy, możesz zainsteresować się OpenBSD. Tamtejsza implementacja dhcpd, posiada opcję -L, która umożwilia zapisywanie każdej dzierżawy (oraz jej wygaśnieścia) do tabeli w PF. Wówczas bardzo łatwo można przeprowadzić takie filtrowanie. Fragment z manuala:
Kod:
-L leased_ip_table
When an address is leased dhcpd will insert it into the pf(4)
table named leased_ip_table. Addresses are removed from the
table when the lease expires. Combined with the table of
abandoned addresses, this can help enforce a requirement to use
DHCP on a network, or can place DHCP users in a different class
of service. Users are cautioned against placing much trust in
Ethernet or IP addresses; ifconfig(8) can be used to trivially
change the interface's address, and on a busy DHCP network, IP
addresses will likely be quickly recycled.Ostatnio edytowany przez jurgensen (2013-07-23 09:22:17)
Offline
#12 2013-07-23 15:22:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables + dhcp blokowanie adresów statycznych
Da się.
Jeśli ktoś ustawi w dhcp dla każdego hosta odpowiedni Ip przypisany do mac, to można zrobić do tego tablicę ipseta
np:
Kod:
ipset create leasses bitmap:ip,mac range 192.168.0.0/16 ipset add leasses 192.168.1.1,12:34:56:78:9A:BC
Jeśli natomiast adresy nie są przypisane do IP, to sprawa jest trudniejsza, bo trzeba się bawić w parsowanie na żywo /var/lib/dhcpd/dhcpd.leases, albo logów serwera dhcp.
Czyli troszkę rzeźbienia jest.
Łatwiej będzie zrobić statyczną adresację w serwerze dhcp.
Wygląda na to, ze żadna magia z tym rzeźbieniem:
Wystarczy grepować DHCPPACK z sysloga, a potem:
Kod:
echo " localhost dhcpd: DHCPACK on 192.168.1.5 to 00:0d:62:d7:a0:12 via eth0"| awk '{print "ipset add leasses "$5","$7} '
ipset add leasses 192.168.1.5,00:0d:62:d7:a0:12Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-07-23 16:04:53)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables + dhcp blokowanie adresów statycznych
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00174 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.86.56' WHERE u.id=1 |
| 0.00081 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.139.86.56', 1715408827) |
| 0.00063 | SELECT * FROM punbb_online WHERE logged<1715408527 |
| 0.00082 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15188 AND t.moved_to IS NULL |
| 0.00023 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00432 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15188 ORDER BY p.id LIMIT 0,25 |
| 0.00128 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15188 |
| Total query time: 0.01 s | |