У меня есть два разделения (два сегмента адресов), мне нужно
1. Если клиент подходит по МАС адресу, то он бы добалялся на один адрес
2. Если МАС адрес не подходит, то его бы перебрасывало на другой ип адрес... как это сделать в DHCPd? или это делается автоматически, если написаны подсети и настройки ниже определения ип по мас адресам???
гЮБНДХЬЭ ДКЪ ЙЮФДНЦН ЙКХЕМРЮ ЯРПНВЙС РХОЮ
host ХЛЪ.ДНЛЕМ { hardware ethernet 00:50:04:09:de:32; fixed-address 172.16.1.19; }мЮ БЯЕУ НЯРЮКЭМШУ - НДМС ЯРПНВЙС РХОЮ
range 172.16.235.129 172.16.235.253;
Я так и понял, просто стпросил ещё раз! СПАСИБО!
ипа такого должно получиться?option domain-name "***";
option domain-name-servers 192.168.0.15;
default-lease-time 3600;
max-lease-time 7200;
ddns-update-style ad-hoc;
log-facility local7;
subnet 192.168.0.0 netmask 255.255.255.0 {
host chris {
option routers 192.168.0.1;
option subnet-mask 255.255.255.0;
hardware ethernet 00:E0:4C:77:20:99;
fixed-address 192.168.0.1;
server-name "192.168.015";
}
range 192.168.0.25 192.168.0.254;
}
Впринципе работать то будет, а вот как быть если пользователь назначил сбе ip вручную? Ведь назначится, а если на свободный назначит из сети доступной в преобразование то будет назаляву в инет лазить...
>Впринципе работать то будет, а вот как быть если пользователь назначил сбе
>ip вручную? Ведь назначится, а если на свободный назначит из сети
>доступной в преобразование то будет назаляву в инет лазить...Первое что пришло в голову - резать ВСЁ в Null, а что назначено не резать.
>>Впринципе работать то будет, а вот как быть если пользователь назначил сбе
>>ip вручную? Ведь назначится, а если на свободный назначит из сети
>>доступной в преобразование то будет назаляву в инет лазить...
>
>Первое что пришло в голову - резать ВСЁ в Null, а что
>назначено не резать.Ммм... это как?
Кстати да... как проблему сего плана решить в сетях с dhcp? Если юзер возьмет себе от балды айпишник - в сеть то его пропустит, и интернет у него будет.
и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны где адреса по dhcp раздаются). и чтобы эти воксы не могли вбивать айпи вручную.
как сие организовать?
>Ммм... это как?
>Кстати да... как проблему сего плана решить в сетях с dhcp? Если
>юзер возьмет себе от балды айпишник - в сеть то его
>пропустит, и интернет у него будет.
>и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть
>есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны
>где адреса по dhcp раздаются). и чтобы эти воксы не могли
>вбивать айпи вручную.
>как сие организовать?Вот я и говорю, роути ВСЁ в NULL. а то что МОЖНО - куда нужно
Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к статье о различиях между локальными и глобальными сетями. Запишите наизусть и повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать - помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь между сегментами, а внутри сегмента можно навести порядок только путем физического отлова хулишанящих юзеров и пинания их по почкам.Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE (так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем, осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или Ethernet). Это - полноценное решение типа того, которое используется при DialUp.
Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика; недостаток - паролируются только HTTP/FTP-запросы.
>Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к
>статье о различиях между локальными и глобальными сетями. Запишите наизусть и
>повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не
>сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать -
>помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер
>так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами
>маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь
>между сегментами, а внутри сегмента можно навести порядок только путем физического
>отлова хулишанящих юзеров и пинания их по почкам.Дим, может расширишь свою статью добавив это и удачную мысль Валентина
Нечаева:route add не_существующий_адрес -reject
правда в той давней перепалке еще было и другое предложение discard устройство пользовать, тоже вариант
обсуждение проблемы можно посмотреть:
http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&inlang=ru...
>Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE
>(так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем,
>осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или
>Ethernet). Это - полноценное решение типа того, которое используется при DialUp.
>
>
>Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy
>типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика;
>недостаток - паролируются только HTTP/FTP-запросы.