ARCHIV

Ahoj!
Nainštaloval som Fedoru 5 na korej mám DHCP srver.Ale moji uživatelia si dávajú pevnú adresu a rutujú sa cez firewall aj tak von.
Na DHCP mam kontrolu MAC adresy.Ako firevallu
zakázať púšťať pevné adresy von.
Dá sa zakázať vstup na firewall pre pevné IP?
Alebo povoliť pechod cez firevall len DHCP prideleným adresam?
Vďaka za pomoc.
Laco

Ano, muzete na firewallu povolovat pouze IP adresy, ktere jsou leasnute (zabrane pres DHCP).

Nebylo by jednodussi (a flexibilnejsi) povolovat na firewallu nejake nejakym zpusobem zname MAC adresy bez ohledu na to, jake pouzivaji IP a jestli souhlasi s tim co pridelilo DHCP?

CHcel by som ich leasnu ale neviem ako viete mi pomôcť Vďaka

Cez DHCPD.LEASES to asi nepojde spravit.
Tento subor sa meni podla ucastnikov.

aces firevall je to rochu komlikovane zadavat vsetkych.

iptables -F MAC
iptables -X MAC
iptables -N MAC

iptables -A MAC -m mac --mac-source 00:90:F5:01:4E:AE -s 10.33.100.2 -j RETURN

iptables -A MAC -m mac --mac-source 00:90:F5:01:4E:AE -s 10.33.100.6 -j RETURN

iptables -A MAC -j DROP
iptables -I FORWARD 1 -i eth1 -j MAC

vyzera to potom asi takto.

premna bi bolo najjednoduchsie keby firewall pustal len protokol DHCP

Tak trochu vas nechapu. Na sledovani tech leasu si prece muzete napsat vlastni skriptik, kdyz se nechcete odhodlat k pouziti vyhledavace ... Sice jsem pochopil vas problem trosku jinak nez kolega, ale pokud by to vyhovovalo pozadavkum, filtrovani podle MAC adresy na firewallu by take mohlo byt celkem rozumne reseni (samozrejme byste mel vedet, ze posilani MAC adresy se da naprosto trivialne zmenit).

mal som problem ze na 1 IP bli naraz dve MAC adresy

ja nechcem sledovat leases , ale povolit dane ip + mac adresy ktore som zapisal do DHCP

V tom pripade tu mame nastroj iptables, ktery to dokaze. Nic vam v tom nebrani.

Coz se muze snadno stat, pokud si uzivatele prirazuji staticke IP, ktere pak nabizite v poolu DHCP adres. Moznych reseni je nekolik, podle me nejsnazsi staticke IP zakazat treba nejakym internim narizenim/politikou, pripadne zminenym filtrovanim neleasnutych adres.

a ako zakazat taticke adresy to je to co neviem

Pochopitelne na firewallu bez kontroly leasu dost dobre nepoznate, jestli je adresa prirazena z DHCP nebo napsana rucne.

And now something completely different:

A co takle to udelat opravdu bezpecne?

Tj. nad fyzickym rozhrani bezi neco (dhcpd, radvd) co nejakym zpusobem prideluje uzivatelskym pocitacum nejake adresy nejakeho sitoveho protokolu (IPv4, IPv6) nad kterym je mozno provozovat openvpn.

Tohle fyzicke rozhrani je pravidly firewallu omezeno tak, ze traffic z nej muze jit pouze na lokalne bezici openvpn server (ze je to server neni podstatne, ale je to lepsi). openvpn server overuje uzivatele a dle nejakeho klice jim prideluje sitove adresy.

Rozhrani ktere vytvari openvpn je pak nejak dal smerovano.

Ma to oproti nejakym silenym hackum s navazovanim dhcpd na iptables a kontrolovani linkovych adres to ma nekolik vyhod: Je to opravdu bezpecne. Neni potreba psat/shanet jakesi mezikusy. Co se deje na tom vlastnim fyzickem dratu je celkem jedno, skoro si myslim, ze se takovahle konfigurace nejak rozumne srovna i s duplicitni linkovou adresou.

Oproti resenim typu 802.1x to ma vyhodu jednu zasadni: funguje to.