forum.opennet.ru - "Настройка DHCP" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Настройка DHCP"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Настройка DHCP"
Сообщение от harlan (ok) on 21-Июн-05, 12:05 (MSK)
Есть следующая сеть: 1) 10.0.0.1 - DHCP (Linux ALM 2.0(2.4.27)) 2) 10.0.0.2 - DHCP-Relay Router - 10.4.0.1 - ... - Network 10.4.0.0/16 3) 10.0.0.3 - host ... ... N) 10.0.0.N - host Нужно реализовать схему, по которой DHCP (10.0.0.1) обслуживал бы только сеть 10.4 (т.е. отвечал только на запросы, пришедшие со стороны 10.0.0.2) А все отсальные запросы (от клиентов 10.0.0.3 - 10.0.0.N) игнорировались. Возможно ли такое реализовать?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Настройка DHCP, Gennadi, 12:23 , 21-Июн-05, (1)
- Настройка DHCP, harlan, 12:57 , 21-Июн-05, (2)
  - Настройка DHCP, jonatan, 14:18 , 21-Июн-05, (3)
    - Настройка DHCP, harlan, 09:28 , 22-Июн-05, (4)
      - Настройка DHCP, jonatan, 09:38 , 22-Июн-05, (5)
        
        Настройка DHCP, harlan, 11:41 , 22-Июн-05, (6)
        
        Настройка DHCP, jonatan, 11:52 , 22-Июн-05, (7)
        
        Настройка DHCP, harlan, 12:16 , 22-Июн-05, (8)
        
        Настройка DHCP, jonatan, 12:33 , 22-Июн-05, (9)
        
        Настройка DHCP, harlan, 13:11 , 22-Июн-05, (10)
        
        Настройка DHCP, jonatan, 13:48 , 22-Июн-05, (11)
        
        Настройка DHCP, harlan, 14:27 , 22-Июн-05, (12)
        Настройка DHCP, jonatan, 15:05 , 22-Июн-05, (13)
        Настройка DHCP, Gennadi, 23:39 , 22-Июн-05, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Настройка DHCP"

Сообщение от Gennadi (??) on 21-Июн-05, 12:23  (MSK)

>Есть следующая сеть:
>1) 10.0.0.1 - DHCP (Linux ALM 2.0(2.4.27))
>2) 10.0.0.2 - DHCP-Relay Router - 10.4.0.1 - ... - Network 10.4.0.0/16
>
>3) 10.0.0.3 - host
>...
>...
>N) 10.0.0.N - host
>Нужно реализовать схему, по которой DHCP (10.0.0.1) обслуживал бы только сеть 10.4
>(т.е. отвечал только на запросы, пришедшие со стороны 10.0.0.2)
>А все отсальные запросы (от клиентов 10.0.0.3 - 10.0.0.N) игнорировались.
>Возможно ли такое реализовать?
Неплохо бы узнать какая ОС.....
Ну например( у SuSE)так:
/etc/sysconfig/dhcpd
=========================================================================
# Interface(s) for the DHCP server to listen on.
#
# Instead of the interface name, the name of its configuration can be given.
# If the configuration file is named
#    /etc/sysconfig/network/ifcfg-eth-id-00:50:fc:e4:f2:65
# then id-00:50:fc:e4:f2:65 would be suitable to identify the configuration.
#
# Examples: DHCPD_INTERFACE="eth0"
#           DHCPD_INTERFACE="eth0 eth1 eth2 tr0 wlan0"
#           DHCPD_INTERFACE="internal0 internal1"
#           DHCPD_INTERFACE="id-00:50:fc:e4:f2:65 id-00:a0:24:cb:cc:5c wlan0"
#
DHCPD_INTERFACE="eth1"
========================================================================
где eth1 10.0.0.2

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Настройка DHCP"

Сообщение от harlan (ok) on 21-Июн-05, 12:57  (MSK)

>Неплохо бы узнать какая ОС.....
На 10.0.0.1 - Alt Linux Master 2.0 Ядро 2.4.27. dhcpd - V3.0.1
10.0.0.2 - спецжелезка со своей собственной системой, которая умеет dhcrelay
>Ну например( у SuSE)так:
> ...
DHCPD_INTERFACE="eth1"
>========================================================================
>
>где eth1 10.0.0.2
Предполагаю, что данная конфигурация относилась к DHCP-серверу, который расположен на 10.0.0.1 (10.0.0.2 просто релэит DHCP-запросы)
В таком варианте сервер просто будет слушать (и отвечать на) запросы с интерфейса eth1 (т.е. от 10.0.0.3, 10.0.0.4, ... , 10.0.0.N)
Мне же нужно, чтобы он отвечал только на запросы прошедшие релэем c 10.0.0.2 и выдавал адреса из диапазона 10.4.0.0/16.
Запросы же от всех остальных клиентов своей сети (10.0.0.3, 10.0.0.4, ... , 10.0.0.N) DHCP-сервер (10.0.0.1) просто напросто бы игнорировал.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Настройка DHCP"

Сообщение от jonatan (ok) on 21-Июн-05, 14:18  (MSK)

Я не пробовал настраивать dhcpd таким образом, но пока мысли такие.
1. Разобраться, как работает dhcrelay. Если в пересылаемых запросах (в заголовке Ethernet) он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на udp/67 только с этого mac.
2. Прописывать ручками в dhcpd.conf копмы из 10.4.0.0/16:
host comp {
   hardware ethernet 08:00:2b:4c:59:23;
   fixed-address 10.4.0.1;
}

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Настройка DHCP"

Сообщение от harlan (ok) on 22-Июн-05, 09:28  (MSK)

>1. Разобраться, как работает dhcrelay. Если в пересылаемых запросах (в заголовке Ethernet)
>он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на
>udp/67 только с этого mac.
Релэй проставляет какой-то адрес, однозначно. Вопрос - какой?
К сожалению, времени на эксперименты особенно нет, но, чувствую, что без этого не обойдётся.

>2. Прописывать ручками в dhcpd.conf копмы из 10.4.0.0/16:
>host comp {
>   hardware ethernet 08:00:2b:4c:59:23;
>   fixed-address 10.4.0.1;
>}
Не вариант. Слишком много компов и отслеживать мак каждого - проще каждому хосту IP прописывать ручками.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Настройка DHCP"

Сообщение от jonatan (ok) on 22-Июн-05, 09:38  (MSK)

>Релэй проставляет какой-то адрес, однозначно. Вопрос - какой?
>К сожалению, времени на эксперименты особенно нет, но, чувствую, что без этого
>не обойдётся.
Запустить сниффер и посмотреть, какой src mac во всех этих пакетах. Вот и весь эксперимент.
>Не вариант. Слишком много компов и отслеживать мак каждого - проще каждому
>хосту IP прописывать ручками.
Если дойдет до этого, то как раз в dhcpd прописывать проще и быстрее, удобнее потом управлять.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Настройка DHCP"

Сообщение от harlan (ok) on 22-Июн-05, 11:41  (MSK)

>Запустить сниффер и посмотреть, какой src mac во всех этих пакетах. Вот
>и весь эксперимент.
Вопрос не в том, какой адрес предоставляет релэй - mac, ip или какой-то другой, а в том, как правильно настроить dhcp.conf
>Если дойдет до этого, то как раз в dhcpd прописывать проще и
>быстрее, удобнее потом управлять.
Ага. А патча не встречали, который прикручивает к DHCP таблицу PostgreSQL, в которой и хранятся соответствия mac <-> ip?
Если "Да", то поделитесь, пожалуйста, ссылочкой?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Настройка DHCP"

Сообщение от jonatan (ok) on 22-Июн-05, 11:52  (MSK)

>Вопрос не в том, какой адрес предоставляет релэй - mac, ip или
>какой-то другой, а в том, как правильно настроить dhcp.conf
Вопрос как раз именно в этом. dhcpd нельзя настроить, чтобы обслуживать эту подсеть и не обслуживать другую, т.к. у клиентов еще нет ip адресов. Поэтому я и предложил резать firewall-ом по mac машины с dhcrelay.
>Ага. А патча не встречали, который прикручивает к DHCP таблицу PostgreSQL, в которой и хранятся соответствия mac <-> ip?
>Если "Да", то поделитесь, пожалуйста, ссылочкой?
При чем здесь это? Речь о том, что вводить на сервере в dhcpd.conf mac<->ip проще и удобнее, чем бегать по всем рабочим станциям и руками прописывать. Если потом понадобится поменять ip компа, default gateway, dns и т.п., то на сервере это делается моментально. Желаете бегать сами по рабочим станциям? Удачи.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Настройка DHCP"

Сообщение от harlan (ok) on 22-Июн-05, 12:16  (MSK)

>Вопрос как раз именно в этом. dhcpd нельзя настроить, чтобы обслуживать эту
>подсеть и не обслуживать другую, т.к. у клиентов еще нет ip
>адресов.
Само существование dhcrelay опровергает ваши слова. dhcrelay пересылает запрос dhcp-серверу, а тот уже должен выделить ip _из_той_подсетки_из_которой_приходит_запрос_ (по моему так), ведь если в одной подсети dhcp будет выдавать адреса из 10.0.0.0/16 и в другой сети из этого же пула, то ничего хорошего не произойдёт.
Описать несколько пулов можно, но как указать, что один пул для выдачи в родительской сети, второй - для релэя А, а третий - для релэя В, я этого в мане не нашел.
>Поэтому я и предложил резать firewall-ом по mac машины с
>dhcrelay.
А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы от релэя, но ИМХО, это изврат. Должно существовать более красивое решение.
>При чем здесь это? Речь о том, что вводить на сервере в dhcpd.conf mac<->ip проще и удобнее, чем бегать по всем рабочим станциям и руками прописывать. Если потом понадобится поменять ip компа, default gateway, dns и т.п., то на сервере это делается моментально. Желаете бегать сами по рабочим станциям? Удачи.
Если упрощать работу, то упрощать максимально. Нужно, что бы все сервисные программы брали данные из одного места (например из таблицы PostgreSQL) а прописывать идентичные данные (например при регистрации клиента) в 256 конфигах (с риском ошибиться и выискивать - где же ты ошибся) ИМХО, чуть-чуть проще, чем бегать по машинам.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Настройка DHCP"

Сообщение от jonatan (ok) on 22-Июн-05, 12:33  (MSK)

>Само существование dhcrelay опровергает ваши слова. dhcrelay пересылает запрос dhcp-серверу, а тот
>уже должен выделить ip _из_той_подсетки_из_которой_приходит_запрос_ (по моему так), ведь если в
>одной подсети dhcp будет выдавать адреса из 10.0.0.0/16 и в другой
>сети из этого же пула, то ничего хорошего не произойдёт.
Полный бред. Повторяю еще раз. dhcpd не различает подсети, ибо у клиента еще нет ip адреса. Либо всем, либо статические mac<->ip. Что делает dhcrelay - почитайте в Инете.
>А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы
>от релэя,
Какая новость!
>Если упрощать работу, то упрощать максимально. Нужно, что бы все сервисные программы
>брали данные из одного места (например из таблицы PostgreSQL) а прописывать
>идентичные данные (например при регистрации клиента) в 256 конфигах (с риском
>ошибиться и выискивать - где же ты ошибся) ИМХО, чуть-чуть проще,
>чем бегать по машинам.
Приведите пример программ, которым нужна информация mac<->ip?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Настройка DHCP"

Сообщение от harlan (ok) on 22-Июн-05, 13:11  (MSK)

>Полный бред. Повторяю еще раз. dhcpd не различает подсети, ибо у клиента еще нет ip адреса. Либо всем, либо статические mac<->ip.
Я бы не утверждал обратного, если бы не видел описанной мной реализвации на соляре, но тот сисадмин не счёл возможным объяснить, как он добился подобного эффекта.
>Что делает dhcrelay - почитайте в Инете.
К сожалению, всё, что я нашел было в стиле - "если вы не знаете, как это работает, то вам и не нужно этого знать"...
Может я не там искал, дайте, плз, ссылку?
>>А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы от релэя,
>Какая новость!
Действительно! Почитайте внимательнее мой вопрос, а так же его разъяснение. А как Вы даёте ответы не ознакомившись с вопросом?
>Приведите пример программ, которым нужна информация mac<->ip?
DHCP - для выдачи IP по мак;
ARP - для грубой защиты от подмены IP-адресов;
Различные мониторы для более тонкой защиты.
Но вопрос не конкретно в DHCP<->mac.
При регистрации клиента нужно указать кучу параметров (мак и ИП толко два из них). Весело, когда для почты нужно прописывать данные клиента в одном конфиге, для DHCP в другом, для аутентификации в третьем, для своего FTP - в четвёртом, etc. (Хотя можно все эти данные хранить в одном месте). Слава Богу! Большинство программ умеют получать данные из единого источника, но как научить делать это DHCP?
А что касается DHCP, то клиент может и карточку поменять. Нужно ворошить базу - исправлять.
Я работал с конторой, которая для подобных вещей требовала являться в офис и писать заявление (с указанием причины - почему меняю карту). Работать с этой конторой было "одно удовольствие". Лично меня хватило на 2 недели.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Настройка DHCP"

Сообщение от jonatan (ok) on 22-Июн-05, 13:48  (MSK)

>Я бы не утверждал обратного, если бы не видел описанной мной реализвации
>на соляре, но тот сисадмин не счёл возможным объяснить, как он
>добился подобного эффекта.
Если посмотреть протокол dhcp, то единственно возможным параметром, однозначно идентифицирующим клиента, является mac. Если в солярис придумали что-то новое - расскажите, крайне интересно.
>К сожалению, всё, что я нашел было в стиле - "если вы
>не знаете, как это работает, то вам и не нужно этого
>знать"...
>Может я не там искал, дайте, плз, ссылку?
Например
http://www.tcpipguide.com/free/t_BOOTPRelayAgentsForwardingAgents.htm
>Действительно! Почитайте внимательнее мой вопрос, а так же его разъяснение. А как
>Вы даёте ответы не ознакомившись с вопросом?
Копирую то, что уже писал.
"Если в пересылаемых запросах (в заголовке Ethernet) он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на udp/67 только с этого mac"
Здесь что-то непонятно?
>DHCP - для выдачи IP по мак;
>ARP - для грубой защиты от подмены IP-адресов;
В соляре ARP - отдельная программа? И он может брать данные из SQL?
>Различные мониторы для более тонкой защиты.
Например?
>Но вопрос не конкретно в DHCP<->mac.
>При регистрации клиента нужно указать кучу параметров (мак и ИП толко два
>из них). Весело, когда для почты нужно прописывать данные клиента в
>одном конфиге, для DHCP в другом, для аутентификации в третьем, для
>своего FTP - в четвёртом, etc. (Хотя можно все эти данные
>хранить в одном месте). Слава Богу! Большинство программ умеют получать данные
>из единого источника, но как научить делать это DHCP?
Для smtp, ftp и аутентификации нужны mac<->ip? Какой софт Вы используете?
>А что касается DHCP, то клиент может и карточку поменять. Нужно ворошить
>базу - исправлять.
>Я работал с конторой, которая для подобных вещей требовала являться в офис
>и писать заявление (с указанием причины - почему меняю карту). Работать
>с этой конторой было "одно удовольствие". Лично меня хватило на 2
>недели.
Я предложил вариант решения указанной Вами проблемы, а не замены клиентом сетевой карты.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Настройка DHCP"

Сообщение от harlan (ok) on 22-Июн-05, 14:27  (MSK)

>Если посмотреть протокол dhcp, то единственно возможным параметром, однозначно идентифицирующим клиента, является
>mac. Если в солярис придумали что-то новое - расскажите, крайне интересно.
Мне тоже интересно, вот и интересовался, как такое можно реализовать.
>http://www.tcpipguide.com/free/t_BOOTPRelayAgentsForwardingAgents.htm
Вот это уже деловой разговор. Спасибо. Почитаю.
>В соляре ARP - отдельная программа? И он может брать данные из
>SQL?
Из SQL она брать данные не умеет, но очень просто написать скрипт, который всё это делает. Боюсь, однако, что с DHCP такой фокус не пройдёт.
>Например?
Мои собственные самописки.
>Для smtp, ftp и аутентификации нужны mac<->ip? Какой софт Вы используете?
>
Я же русским по зелёному написал, что в случаях smtp, ftp, etc. "вопрос не конкретно в DHCP<->mac". Ещё раз повторюсь: при регистрации клиента заносится туева хуча данных, а не только пара mac<->ip, поэтому эти данные лучше хранить в одном месте, а не размазывать по кнфигам. Т.к. пара mac<->ip относится к этим данным, то их так же желательно хранить вместе с другими данными, а не в отдельном конфиге.
>Я предложил вариант решения указанной Вами проблемы, а не замены клиентом сетевой карты.
Спасибо за предложенный вариант. Это без иронии.
Дальше буду думать и ворошить доки.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Настройка DHCP"

Сообщение от jonatan (ok) on 22-Июн-05, 15:05  (MSK)

>Из SQL она брать данные не умеет, но очень просто написать скрипт,
>который всё это делает. Боюсь, однако, что с DHCP такой фокус
>не пройдёт.
Что мешает тоже самое сделать для dhcp?
http://www.linuxfan.pl/dyskusje/pcol.2003/02.2003/6052.php3
http://freshmeat.net/projects/mydhcpgen/?branch_id=51788
>Я же русским по зелёному написал, что в случаях smtp, ftp, etc. "вопрос не конкретно в DHCP<->mac". Ещё раз повторюсь: при регистрации клиента заносится туева хуча данных, а не только пара mac<->ip, поэтому эти данные лучше хранить в одном месте, а не размазывать по кнфигам. Т.к. пара mac<->ip относится к этим данным, то их так же желательно хранить вместе с другими данными, а не в отдельном конфиге.
>
Смотря что Вы называете регистрацией клиента.
Насколько я понял Вы хотите использовать статический ARP? Тогда в любом случае после замены клиентом сетевой карты нужно будет руками править Ваши таблицы и кэш ARP.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Настройка DHCP"

Сообщение от Gennadi (??) on 22-Июн-05, 23:39  (MSK)

А если попробовать так:
iptables -P INPUT DROP
iptables -A INPUT -s 10.4.0.1 -d 10.0.0.2 -p udp --dport 67 -j ACCEPT

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка DHCP"
Сообщение от Gennadi (??) on 21-Июн-05, 12:23 (MSK)
>Есть следующая сеть: >1) 10.0.0.1 - DHCP (Linux ALM 2.0(2.4.27)) >2) 10.0.0.2 - DHCP-Relay Router - 10.4.0.1 - ... - Network 10.4.0.0/16 > >3) 10.0.0.3 - host >... >... >N) 10.0.0.N - host >Нужно реализовать схему, по которой DHCP (10.0.0.1) обслуживал бы только сеть 10.4 >(т.е. отвечал только на запросы, пришедшие со стороны 10.0.0.2) >А все отсальные запросы (от клиентов 10.0.0.3 - 10.0.0.N) игнорировались. >Возможно ли такое реализовать? Неплохо бы узнать какая ОС..... Ну например( у SuSE)так: /etc/sysconfig/dhcpd ========================================================================= # Interface(s) for the DHCP server to listen on. # # Instead of the interface name, the name of its configuration can be given. # If the configuration file is named # /etc/sysconfig/network/ifcfg-eth-id-00:50:fc:e4:f2:65 # then id-00:50:fc:e4:f2:65 would be suitable to identify the configuration. # # Examples: DHCPD_INTERFACE="eth0" # DHCPD_INTERFACE="eth0 eth1 eth2 tr0 wlan0" # DHCPD_INTERFACE="internal0 internal1" # DHCPD_INTERFACE="id-00:50:fc:e4:f2:65 id-00:a0:24:cb:cc:5c wlan0" # DHCPD_INTERFACE="eth1" ======================================================================== где eth1 10.0.0.2
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Настройка DHCP"
	Сообщение от harlan (ok) on 21-Июн-05, 12:57 (MSK)
	>Неплохо бы узнать какая ОС..... На 10.0.0.1 - Alt Linux Master 2.0 Ядро 2.4.27. dhcpd - V3.0.1 10.0.0.2 - спецжелезка со своей собственной системой, которая умеет dhcrelay >Ну например( у SuSE)так: > ... DHCPD_INTERFACE="eth1" >======================================================================== > >где eth1 10.0.0.2 Предполагаю, что данная конфигурация относилась к DHCP-серверу, который расположен на 10.0.0.1 (10.0.0.2 просто релэит DHCP-запросы) В таком варианте сервер просто будет слушать (и отвечать на) запросы с интерфейса eth1 (т.е. от 10.0.0.3, 10.0.0.4, ... , 10.0.0.N) Мне же нужно, чтобы он отвечал только на запросы прошедшие релэем c 10.0.0.2 и выдавал адреса из диапазона 10.4.0.0/16. Запросы же от всех остальных клиентов своей сети (10.0.0.3, 10.0.0.4, ... , 10.0.0.N) DHCP-сервер (10.0.0.1) просто напросто бы игнорировал.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Настройка DHCP"
	Сообщение от jonatan (ok) on 21-Июн-05, 14:18 (MSK)
	Я не пробовал настраивать dhcpd таким образом, но пока мысли такие. 1. Разобраться, как работает dhcrelay. Если в пересылаемых запросах (в заголовке Ethernet) он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на udp/67 только с этого mac. 2. Прописывать ручками в dhcpd.conf копмы из 10.4.0.0/16: host comp { hardware ethernet 08:00:2b:4c:59:23; fixed-address 10.4.0.1; }
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Настройка DHCP"
	Сообщение от harlan (ok) on 22-Июн-05, 09:28 (MSK)
	>1. Разобраться, как работает dhcrelay. Если в пересылаемых запросах (в заголовке Ethernet) >он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на >udp/67 только с этого mac. Релэй проставляет какой-то адрес, однозначно. Вопрос - какой? К сожалению, времени на эксперименты особенно нет, но, чувствую, что без этого не обойдётся. >2. Прописывать ручками в dhcpd.conf копмы из 10.4.0.0/16: >host comp { > hardware ethernet 08:00:2b:4c:59:23; > fixed-address 10.4.0.1; >} Не вариант. Слишком много компов и отслеживать мак каждого - проще каждому хосту IP прописывать ручками.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Настройка DHCP"
	Сообщение от jonatan (ok) on 22-Июн-05, 09:38 (MSK)
	>Релэй проставляет какой-то адрес, однозначно. Вопрос - какой? >К сожалению, времени на эксперименты особенно нет, но, чувствую, что без этого >не обойдётся. Запустить сниффер и посмотреть, какой src mac во всех этих пакетах. Вот и весь эксперимент. >Не вариант. Слишком много компов и отслеживать мак каждого - проще каждому >хосту IP прописывать ручками. Если дойдет до этого, то как раз в dhcpd прописывать проще и быстрее, удобнее потом управлять.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Настройка DHCP"
	Сообщение от harlan (ok) on 22-Июн-05, 11:41 (MSK)
	>Запустить сниффер и посмотреть, какой src mac во всех этих пакетах. Вот >и весь эксперимент. Вопрос не в том, какой адрес предоставляет релэй - mac, ip или какой-то другой, а в том, как правильно настроить dhcp.conf >Если дойдет до этого, то как раз в dhcpd прописывать проще и >быстрее, удобнее потом управлять. Ага. А патча не встречали, который прикручивает к DHCP таблицу PostgreSQL, в которой и хранятся соответствия mac <-> ip? Если "Да", то поделитесь, пожалуйста, ссылочкой?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Настройка DHCP"
	Сообщение от jonatan (ok) on 22-Июн-05, 11:52 (MSK)
	>Вопрос не в том, какой адрес предоставляет релэй - mac, ip или >какой-то другой, а в том, как правильно настроить dhcp.conf Вопрос как раз именно в этом. dhcpd нельзя настроить, чтобы обслуживать эту подсеть и не обслуживать другую, т.к. у клиентов еще нет ip адресов. Поэтому я и предложил резать firewall-ом по mac машины с dhcrelay. >Ага. А патча не встречали, который прикручивает к DHCP таблицу PostgreSQL, в которой и хранятся соответствия mac <-> ip? >Если "Да", то поделитесь, пожалуйста, ссылочкой? При чем здесь это? Речь о том, что вводить на сервере в dhcpd.conf mac<->ip проще и удобнее, чем бегать по всем рабочим станциям и руками прописывать. Если потом понадобится поменять ip компа, default gateway, dns и т.п., то на сервере это делается моментально. Желаете бегать сами по рабочим станциям? Удачи.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Настройка DHCP"
	Сообщение от harlan (ok) on 22-Июн-05, 12:16 (MSK)
	>Вопрос как раз именно в этом. dhcpd нельзя настроить, чтобы обслуживать эту >подсеть и не обслуживать другую, т.к. у клиентов еще нет ip >адресов. Само существование dhcrelay опровергает ваши слова. dhcrelay пересылает запрос dhcp-серверу, а тот уже должен выделить ip _из_той_подсетки_из_которой_приходит_запрос_ (по моему так), ведь если в одной подсети dhcp будет выдавать адреса из 10.0.0.0/16 и в другой сети из этого же пула, то ничего хорошего не произойдёт. Описать несколько пулов можно, но как указать, что один пул для выдачи в родительской сети, второй - для релэя А, а третий - для релэя В, я этого в мане не нашел. >Поэтому я и предложил резать firewall-ом по mac машины с >dhcrelay. А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы от релэя, но ИМХО, это изврат. Должно существовать более красивое решение. >При чем здесь это? Речь о том, что вводить на сервере в dhcpd.conf mac<->ip проще и удобнее, чем бегать по всем рабочим станциям и руками прописывать. Если потом понадобится поменять ip компа, default gateway, dns и т.п., то на сервере это делается моментально. Желаете бегать сами по рабочим станциям? Удачи. Если упрощать работу, то упрощать максимально. Нужно, что бы все сервисные программы брали данные из одного места (например из таблицы PostgreSQL) а прописывать идентичные данные (например при регистрации клиента) в 256 конфигах (с риском ошибиться и выискивать - где же ты ошибся) ИМХО, чуть-чуть проще, чем бегать по машинам.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Настройка DHCP"
	Сообщение от jonatan (ok) on 22-Июн-05, 12:33 (MSK)
	>Само существование dhcrelay опровергает ваши слова. dhcrelay пересылает запрос dhcp-серверу, а тот >уже должен выделить ip _из_той_подсетки_из_которой_приходит_запрос_ (по моему так), ведь если в >одной подсети dhcp будет выдавать адреса из 10.0.0.0/16 и в другой >сети из этого же пула, то ничего хорошего не произойдёт. Полный бред. Повторяю еще раз. dhcpd не различает подсети, ибо у клиента еще нет ip адреса. Либо всем, либо статические mac<->ip. Что делает dhcrelay - почитайте в Инете. >А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы >от релэя, Какая новость! >Если упрощать работу, то упрощать максимально. Нужно, что бы все сервисные программы >брали данные из одного места (например из таблицы PostgreSQL) а прописывать >идентичные данные (например при регистрации клиента) в 256 конфигах (с риском >ошибиться и выискивать - где же ты ошибся) ИМХО, чуть-чуть проще, >чем бегать по машинам. Приведите пример программ, которым нужна информация mac<->ip?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Настройка DHCP"
	Сообщение от harlan (ok) on 22-Июн-05, 13:11 (MSK)
	>Полный бред. Повторяю еще раз. dhcpd не различает подсети, ибо у клиента еще нет ip адреса. Либо всем, либо статические mac<->ip. Я бы не утверждал обратного, если бы не видел описанной мной реализвации на соляре, но тот сисадмин не счёл возможным объяснить, как он добился подобного эффекта. >Что делает dhcrelay - почитайте в Инете. К сожалению, всё, что я нашел было в стиле - "если вы не знаете, как это работает, то вам и не нужно этого знать"... Может я не там искал, дайте, плз, ссылку? >>А резать как раз-таки, придётся запросы из родительской сети и пропускать запросы от релэя, >Какая новость! Действительно! Почитайте внимательнее мой вопрос, а так же его разъяснение. А как Вы даёте ответы не ознакомившись с вопросом? >Приведите пример программ, которым нужна информация mac<->ip? DHCP - для выдачи IP по мак; ARP - для грубой защиты от подмены IP-адресов; Различные мониторы для более тонкой защиты. Но вопрос не конкретно в DHCP<->mac. При регистрации клиента нужно указать кучу параметров (мак и ИП толко два из них). Весело, когда для почты нужно прописывать данные клиента в одном конфиге, для DHCP в другом, для аутентификации в третьем, для своего FTP - в четвёртом, etc. (Хотя можно все эти данные хранить в одном месте). Слава Богу! Большинство программ умеют получать данные из единого источника, но как научить делать это DHCP? А что касается DHCP, то клиент может и карточку поменять. Нужно ворошить базу - исправлять. Я работал с конторой, которая для подобных вещей требовала являться в офис и писать заявление (с указанием причины - почему меняю карту). Работать с этой конторой было "одно удовольствие". Лично меня хватило на 2 недели.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Настройка DHCP"
	Сообщение от jonatan (ok) on 22-Июн-05, 13:48 (MSK)
	>Я бы не утверждал обратного, если бы не видел описанной мной реализвации >на соляре, но тот сисадмин не счёл возможным объяснить, как он >добился подобного эффекта. Если посмотреть протокол dhcp, то единственно возможным параметром, однозначно идентифицирующим клиента, является mac. Если в солярис придумали что-то новое - расскажите, крайне интересно. >К сожалению, всё, что я нашел было в стиле - "если вы >не знаете, как это работает, то вам и не нужно этого >знать"... >Может я не там искал, дайте, плз, ссылку? Например http://www.tcpipguide.com/free/t_BOOTPRelayAgentsForwardingAgents.htm >Действительно! Почитайте внимательнее мой вопрос, а так же его разъяснение. А как >Вы даёте ответы не ознакомившись с вопросом? Копирую то, что уже писал. "Если в пересылаемых запросах (в заголовке Ethernet) он ставит свой mac, то попробовать разрешить iptables-ом все пакеты на udp/67 только с этого mac" Здесь что-то непонятно? >DHCP - для выдачи IP по мак; >ARP - для грубой защиты от подмены IP-адресов; В соляре ARP - отдельная программа? И он может брать данные из SQL? >Различные мониторы для более тонкой защиты. Например? >Но вопрос не конкретно в DHCP<->mac. >При регистрации клиента нужно указать кучу параметров (мак и ИП толко два >из них). Весело, когда для почты нужно прописывать данные клиента в >одном конфиге, для DHCP в другом, для аутентификации в третьем, для >своего FTP - в четвёртом, etc. (Хотя можно все эти данные >хранить в одном месте). Слава Богу! Большинство программ умеют получать данные >из единого источника, но как научить делать это DHCP? Для smtp, ftp и аутентификации нужны mac<->ip? Какой софт Вы используете? >А что касается DHCP, то клиент может и карточку поменять. Нужно ворошить >базу - исправлять. >Я работал с конторой, которая для подобных вещей требовала являться в офис >и писать заявление (с указанием причины - почему меняю карту). Работать >с этой конторой было "одно удовольствие". Лично меня хватило на 2 >недели. Я предложил вариант решения указанной Вами проблемы, а не замены клиентом сетевой карты.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Настройка DHCP"
	Сообщение от harlan (ok) on 22-Июн-05, 14:27 (MSK)
	>Если посмотреть протокол dhcp, то единственно возможным параметром, однозначно идентифицирующим клиента, является >mac. Если в солярис придумали что-то новое - расскажите, крайне интересно. Мне тоже интересно, вот и интересовался, как такое можно реализовать. >http://www.tcpipguide.com/free/t_BOOTPRelayAgentsForwardingAgents.htm Вот это уже деловой разговор. Спасибо. Почитаю. >В соляре ARP - отдельная программа? И он может брать данные из >SQL? Из SQL она брать данные не умеет, но очень просто написать скрипт, который всё это делает. Боюсь, однако, что с DHCP такой фокус не пройдёт. >Например? Мои собственные самописки. >Для smtp, ftp и аутентификации нужны mac<->ip? Какой софт Вы используете? > Я же русским по зелёному написал, что в случаях smtp, ftp, etc. "вопрос не конкретно в DHCP<->mac". Ещё раз повторюсь: при регистрации клиента заносится туева хуча данных, а не только пара mac<->ip, поэтому эти данные лучше хранить в одном месте, а не размазывать по кнфигам. Т.к. пара mac<->ip относится к этим данным, то их так же желательно хранить вместе с другими данными, а не в отдельном конфиге. >Я предложил вариант решения указанной Вами проблемы, а не замены клиентом сетевой карты. Спасибо за предложенный вариант. Это без иронии. Дальше буду думать и ворошить доки.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Настройка DHCP"
	Сообщение от jonatan (ok) on 22-Июн-05, 15:05 (MSK)
	>Из SQL она брать данные не умеет, но очень просто написать скрипт, >который всё это делает. Боюсь, однако, что с DHCP такой фокус >не пройдёт. Что мешает тоже самое сделать для dhcp? http://www.linuxfan.pl/dyskusje/pcol.2003/02.2003/6052.php3 http://freshmeat.net/projects/mydhcpgen/?branch_id=51788 >Я же русским по зелёному написал, что в случаях smtp, ftp, etc. "вопрос не конкретно в DHCP<->mac". Ещё раз повторюсь: при регистрации клиента заносится туева хуча данных, а не только пара mac<->ip, поэтому эти данные лучше хранить в одном месте, а не размазывать по кнфигам. Т.к. пара mac<->ip относится к этим данным, то их так же желательно хранить вместе с другими данными, а не в отдельном конфиге. > Смотря что Вы называете регистрацией клиента. Насколько я понял Вы хотите использовать статический ARP? Тогда в любом случае после замены клиентом сетевой карты нужно будет руками править Ваши таблицы и кэш ARP.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Настройка DHCP"
	Сообщение от Gennadi (??) on 22-Июн-05, 23:39 (MSK)
	А если попробовать так: iptables -P INPUT DROP iptables -A INPUT -s 10.4.0.1 -d 10.0.0.2 -p udp --dport 67 -j ACCEPT
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]