Limit DHCP
Peter Surda
shurdeek na routehat.org
Pátek Listopad 19 17:13:11 CET 2004
On Fri, Nov 19, 2004 at 02:38:39PM +0100, Ivo.Hanuska na hella.com wrote:
> Dobrý den všem!
cau
> Mám následující dotaz na řešitelnost problému. Máme tu situaci, kdy všechny
> počítače v korporátní síti dostávají přidělenu adresu přes DHCP z lokálních
> DHCP providerů.
Bud to chapem nespravne alebo je to z bezpecnostneho hladiska dost divne.
Takze v prvom rade by som uvazoval o nejakom systemovom rieseni.
> Mne napadlo řešení navrhnout DHCP server tak, že bude mít v Iptables v
> INPUT chainu zákaz veškeré DHCP komunikace a vyjmenované MAC adresy budou
> odfiltrovány. Problém je ale v počtu, protože těch cestovních počítadel je
> asi 600. Neexituje nějaký jiný způsob, jak omezit počítače které žádají IP
> adresu od DHCP démona?
V pohode to tak mozes riesit bez toho, aby velky pocet pravidiel mal prakticke
negativne dosledky, musis si ale najprv uvedomit, ze iptables vie pracovat s
retazami a teda sa da zataz optimalizovat:
iptables -A INPUT -p udp --dport 67 -j dobre
iptables -N dobre
for m in `cat zoznam-mek-adries`
do
iptables -A dobre -m mac --mac-source $m -j ACCEPT
done
iptables -A dobre -j DROP
Pakety, ktore nie su dhcp, budu sposobovat 2 checky (protokol a port), dhcp
budu statisticky sposobovat 2+(pocet_mac_adries/2) checkov.
Pripadne to mozes spravit tak isto ale s nf-hipac, ten chainy sam
zoptimalizuje (nepamatam ci pouziva binarny strom alebo hash alebo sa to da
volit ale v kazdom pripade je to presne na takuto situaciu).
> Díky
>
> Ivo Hanuška
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
Press every key to continue.
Další informace o konferenci Linux