Limit DHCP

[Peter Surda]

On Fri, Nov 19, 2004 at 02:38:39PM +0100, Ivo.Hanuska na hella.com wrote:
> Dobrý den všem!
cau

> Mám následující dotaz na řešitelnost problému. Máme tu situaci, kdy všechny
> počítače v korporátní síti dostávají přidělenu adresu přes DHCP z lokálních
> DHCP providerů.
Bud to chapem nespravne alebo je to z bezpecnostneho hladiska dost divne.

Takze v prvom rade by som uvazoval o nejakom systemovom rieseni.

> Mne napadlo řešení navrhnout DHCP server tak, že bude mít v Iptables v
> INPUT chainu zákaz veškeré DHCP komunikace a vyjmenované MAC adresy budou
> odfiltrovány. Problém je ale v počtu, protože těch cestovních počítadel je
> asi 600.  Neexituje nějaký jiný způsob, jak omezit počítače které žádají IP
> adresu od DHCP démona?
V pohode to tak mozes riesit bez toho, aby velky pocet pravidiel mal prakticke
negativne dosledky, musis si ale najprv uvedomit, ze iptables vie pracovat s
retazami a teda sa da zataz optimalizovat:
iptables -A INPUT -p udp --dport 67 -j dobre
iptables -N dobre
for m in `cat zoznam-mek-adries`
do
	iptables -A dobre -m mac --mac-source $m -j ACCEPT
done
iptables -A dobre -j DROP

Pakety, ktore nie su dhcp, budu sposobovat 2 checky (protokol a port), dhcp
budu statisticky sposobovat 2+(pocet_mac_adries/2) checkov.

Pripadne to mozes spravit tak isto ale s nf-hipac, ten chainy sam
zoptimalizuje (nepamatam ci pouziva binarny strom alebo hash alebo sa to da
volit ale v kazdom pripade je to presne na takuto situaciu).

> Díky
> 
> Ivo Hanuška
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
                   Press every key to continue.