Sziasztok!
Van egy problémám a dinamikus ip kiosztással.
Létezik egy irodai hálózat. Benne van egy ubuntu szerver, ami tűzfal és dhcp szerver is egyben. A "fix" gépelnek, fix ip-k vannak beállítva a dhcp configban. A dinamikus hosztok 100-253-ig vannak beállítva. A problémám a következő:
- vannak vendégek akiket be kell engednem a hálózatba, hogy tudják használni a nyomtatókat, stb.
- viszont rajtuk kívül más ne tudja használni a hálózatot(!).
Gondolom iptables lesz a megoldás és egy lista, csak még nem tudom milyen formában.
Valakinek ötlete?
- 1574 megtekintés
Hozzászólások
definiáld jobban a feladatot (= mit tudunk a vendégekről, mi különbözteti meg őket a "rajtuk kívül más"-tól?) !
- A hozzászóláshoz be kell jelentkezni
Az ismert mac-eknek más tartományból ossz IP-t, mint az ismeretleneknek.
Az ismeretlen kliensek meg kapnak egy olyan DNS-t, ami mindenre ugyanazt az IP-t oldja fel, amire bejön egy regisztrációs oldal (elkérve a MAC-et)
- A hozzászóláshoz be kell jelentkezni
Ez jól hangzik, de mi van azokkal akik beírnak egy ipt a tartományból és azzal használják a hálózatot?
Oops: Az a baj, igazából semmi nem különbözteti meg őket. :)
- A hozzászóláshoz be kell jelentkezni
Akkor mondjuk egy for ciklussal generálj iptables szabályokat, valami ilyesmi formán (feltételezve, hogy 192.168.0.0/24-et az ismert MAC-esek használják):
iptables -A INPUT -s 192.168.0.0/24 -m mac --mac-source 00:00:11:22:22:33 -j ACCEPT
Utánuk meg egy ilyet:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
Szerk: a MAC is átírható kliens oldalon.
Esetleg ha menedzselhető switch-eid vannak, akkor talán támogatja a dinamikus VLANokat. Ott lehet MAC-et VLAN-hoz rendelni.
- A hozzászóláshoz be kell jelentkezni
Ez túl sok adminisztrációval és kevés eredménnyel jár.
Ha mondjuk VPN-el authentikálnátok?
- A hozzászóláshoz be kell jelentkezni
Ha csak a DHCP-t akarod korlátozni, akkor simán rendeld MAC-hez a címeket.
Viszont, ez önmagában még nem oldja meg a hálózati hozzáférést.
- A hozzászóláshoz be kell jelentkezni
switchen port security beállítás, hogy csak az engedélyezett MAC-ek forgalmazhassanak?
- A hozzászóláshoz be kell jelentkezni
Ezt vagy VLAN-ozzásal és több tartománnyal vagy pedig minden ismert gépen fix IP-vel (DHCP-ből osztva is) és a többieknek vendég tartománnyal lehet szépen megoldani. Wifi routerből is tudsz olyat venni ami multi-ssid és megadható a vlan-tag adott wifi hálózathoz.
Ez igazából a véletlen hozzáférések és a hirtelen kutakodás ellen fog védeni, ha simán kihúznak/bedugnak egy meglévő aljzatba, ahol eddig saját gép volt és felvesznek egy fix IP-t ugyanúgy ott lesznek. Érdemes minden hálózatosan elérhető erőforrást jelszóval is védeni.
- A hozzászóláshoz be kell jelentkezni