Вопрос наверное тупой, но все же.
Шлюз на фре. Сеть 192.168.0.0/24. DHCP пока не поднимал. Есть необходимость привязки некоего IP-шника некоему хосту в локалке без возможности использования этого IP-шника кем-то другим. Даже если необходимый хост выключен. То есть, нужно резервирование IP адресов. Прозреваю, что это делается через привязку IP<->MAC, но что крутить?
> Вопрос наверное тупой, но все же.
> Шлюз на фре. Сеть 192.168.0.0/24. DHCP пока не поднимал. Есть необходимость привязки
> некоего IP-шника некоему хосту в локалке без возможности использования этого IP-шника
> кем-то другим. Даже если необходимый хост выключен. То есть, нужно резервирование
> IP адресов. Прозреваю, что это делается через привязку IP<->MAC, но что
> крутить?Статическая запись ARP
> Статическая запись ARPМожет я неправильно сделал:
Создал файл /etc/arp/
Вписал туда 192.168.0.210 00:11:22:33:44:55
Далее:
arp -d
arp -f /etc/arp
arp -aДа, привязка перманентная к "левому" МАКу. Подключаюсь с телефона с уже прописанным 192.168.0.210. Подключается без ругани и пингуется с соседних компов.
А задача, чтобы подключение было невозможно при несовпадении МАКа.
Это делается (если по уму и правильно) конфигурацией свича (свичей) в которые подключены клиенты. Но никак не средствами шлюза. Если сеть под виндами в AD- то можно групповыми политиками запретить пользователям равлекаться с сетевыми настройками. Только Фря тут не причем совершенно.
>[оверквотинг удален]
> Может я неправильно сделал:
> Создал файл /etc/arp/
> Вписал туда 192.168.0.210 00:11:22:33:44:55
> Далее:
> arp -d
> arp -f /etc/arp
> arp -a
> Да, привязка перманентная к "левому" МАКу. Подключаюсь с телефона с уже прописанным
> 192.168.0.210. Подключается без ругани и пингуется с соседних компов.
> А задача, чтобы подключение было невозможно при несовпадении МАКа.В свое время использовал в домашней сети ip-sentinel (управляемые коммутаторы были роскошью)
Эта херь если из сети ловит несовпадение пары mac-ip (предварительно прописанных), рассылает броадкасты, кричащие что ip сидит на фейковом маке. Для юзера сеть ложится.
конфиг для него формировал скриптом, вытаскивая пару ip-mac из бд биллинга
>[оверквотинг удален]
> Может я неправильно сделал:
> Создал файл /etc/arp/
> Вписал туда 192.168.0.210 00:11:22:33:44:55
> Далее:
> arp -d
> arp -f /etc/arp
> arp -a
> Да, привязка перманентная к "левому" МАКу. Подключаюсь с телефона с уже прописанным
> 192.168.0.210. Подключается без ругани и пингуется с соседних компов.
> А задача, чтобы подключение было невозможно при несовпадении МАКа.ifconfig _ifaceX_ staticarp
> Вопрос наверное тупой, но все же.
> Шлюз на фре. Сеть 192.168.0.0/24. DHCP пока не поднимал. Есть необходимость привязки
> некоего IP-шника некоему хосту в локалке без возможности использования этого IP-шника
> кем-то другим. Даже если необходимый хост выключен. То есть, нужно резервирование
> IP адресов. Прозреваю, что это делается через привязку IP<->MAC, но что
> крутить?ну почитаю хоть какие-то маны по дхцп серваку ....
> ну почитаю хоть какие-то маны по дхцп серваку ....ДХЦП не поднят и хотелось бы без него, если это возможно.
>> ну почитаю хоть какие-то маны по дхцп серваку ....
> ДХЦП не поднят и хотелось бы без него, если это возможно.Dhcp как раз и выдаст конкретный ip конкретной карте с соответствующим mac-адресом, а ваша проверка с пингом не корректна, сделать ее корректной может только, если вы запись в arp вы распространите на все компы в локалке, а не только на фре...
> ДХЦП не поднят и хотелось бы без него, если это возможно.Ну так вам выше советовали ip-sentinel
Попробуйте аналог, для BSD в портах => /usr/ports/security/ipguardВот что на http://ipguard.deep.perm.ru/ написано:
ipguard - инструмент, предназначенный для защиты IP-адресов сети с помощью ARP-спуфингаipguard слушает сеть на наличие ARP-пакетов. Все разрешенные MAC/IP пары перечислены в файле.
Если ipguard получает пару MAC/IP-адрес, которая не указана в файле, он будет посылать ARP-ответ с настроенным поддельным адресом.
Это не позволит данному хосту правильно работать в этом сегменте сети.Ваш случай. И файлик /etc/arp как раз таки пригодится.
> Шлюз на фре./usr/ports/net-mgmt/arpwatch/ пригодится для анализа и разбора полетов :-)
This package contains tools that monitors ethernet activity and maintains a database of ethernet/ip address pairings. It also reports certain changes via email.