isc dhcpd: a "routers" értéke a kliens (leendő) címe legyen

Hálózatok egyéb

Azt szeretném megoldani (egyelőre tesztnek), hogy a kliensek (win7) a default gateway címének a saját címüket kapják meg. Az elsődleges cél az lenne, hogy esélytelen legyen, hogy proxy nélkül kilássanak a saját hálózatukból.

Létezik egy leased-address "változó", ám ennek az értéke a címkiadás közben még nem eldöntött, "there is no lease associated with this client", szóval ezzel nem lettem előrébb.

Van-e jobb módszer minthogy egyenként felveszem a gépeket és megadom az ip-gw párost? Mert ezt azért hanyagolnám ha lehet. Fontos, hogy "létező" cím kell, olyan, amihez tartozik MAC address is.

Update: a hálózatban nincs olyan gép, ami szándékosan gw lenne, azaz nincs olyan IP cím, amit beállítva biztosan ki fog találni a netre. Így a felhasználó hiába is állít be bármilyen IP címet, elvileg azzal nem fog kimenni. Amitől én tartok, hogy bármilyen, általam nem ismert discovery csiribúval mégis talál valami kiskaput, mindenki szándéka ellenére. Pl. egy laptopon megosztott mobilnet, amit a laptop hirdet. Persze ez lehet akkor is probléma, ha már adott egy gw, fogalmam sincs.

Illetve az is cél, hogy ha a lehetséges gépeken (azok, amelyik mindkét hálózatba belelógnak) bárki véletlenül beállít egy ip forwardingot (vagy valami okoska démonka úgy gondolja hogy mivel ő két hálózatot lát, biztosan kell ilyet csinálni), akkor se arra menjenek a csomagok.

Ha nincs def. gw, akkor a windows nem ismeri fel, hogy milyen hálózatban van, ezért bedurcázik, közli hogy ez egy public hálózat és egy rakat dolgot letilt. A cél az lenne, hogy az adott hálózatban lévő windowsokon semmit ne kelljen állítani. Persze ez lehet hogy zsákutca, majd kiderül.

Nagyjából erre jutottam, és erre két (három) megoldást tudok:

- megadom egy buta, de magát okosnak gondoló eszköz (printer server, belső wifi router) címét, ami amúgy is van/lesz, de ezektől félek a legjobban, hogy nincs-e bennük valami nagyon okos discovery, amivel megtalálja (bárhogyan) a közelben lévő eszközöket, akár ip címtől függetlenül, véletlenül létrejövő átjárót, stb. stb. Elvileg a gépek külön fizikai switchen vannak, nincsenek összekötve se dróttal, se gépben (brctl, ip forward/route, miegyéb), de ugye elég egyszer benézni egy konfigot, és ha lehet, ezt igyekeznék eleve kivédeni
- beáldozok egy ethernet portot, kap egy megfelelő címet, és nagyon bedrótozom, hogy ami arról az interfészről jön, az mind kuka, ez azért szimpatikus, mert egy helyen kell megírni, karbantartani, kommentekkel gazdagon ellátni, hogy ez direkt van így, ne piszkáld (link a belső wikire, mittomén) még ha hülyeségnek is látszik, de nem az :D
- ugyanaz egy komplett géppel, ami hát ugye kissé na - bár most így belegondolva épp van egy windows amit erre be tudnék áldozni, talán, eddig nem is gondoltam komplett gépre.

( dzsambo | 2015. 12. 01., k – 18:04 )

vagy esetleg a localhostot megadni?

a routeren nem lehet lehetne szűrni az átmenő forgalmat acl-lel, azt sokkal jobb megoldásnak tartanám.

( kroozo v | 2015. 12. 01., k – 20:52 )

aztán jön a user, hogy route add 0.0.0.0 mask 0.0.0.0 gateway 1.2.3.1 és jön a csodálkozás.

Szerintem rosszul fogod :)

( pista_ v | 2015. 12. 01., k – 21:24 )

Háát, hacsak nem óvodáról van szó, akkor ne nézd le a felhasználót, még ha 10 éves akkor sem.
Nem megy a net, megnézi, hogy mi van beállítva és leesik neki, hogy "otthon nem egészen így van" és kísérletezgetve is kitalálja a frankót, hátha még ért is picit hozzá, ami a mai fiataloknál azért nem meglepő.

Azért, hogy hasznosat is írjak:
1. Transparent proxy.
2. Külön VLAN és a tartományt az átjárón tiltani.
3. Nem írtad, hogy milyen win7, de ha korlátozott felhasználóval lép be, akkor akár működhet is - bár nem szép imho.
4. Tartományi win7-el meg egész sok mindent lehet korlátozni tudtommal.