URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23607
[ Назад ]

Исходное сообщение
"Access-list DHCP"
Отправлено Сергей , 11-Мрт-12 14:08

Ребят, подскажите пожалуйста.
На cisco 2811 (ip 192.168.0.1) поднят DHCP сервер.
Задача - разрешить только выдачу адресов по DHCP, запретив доступ куда либо.
Правильно ли так?
ip access-list extended F1
remark PERMIT DHCP
permit udp 192.168.0.0 0.0.0.255 host 192.168.0.1 eq
remark DENY ALL TRAFF
deny ip any any
Ну и потом лист на интерфейсе in
Спасибо!

Содержание

Access-list DHCP,Сергей, 14:26 , 11-Мрт-12
Access-list DHCP,eek, 07:16 , 12-Мрт-12
Access-list DHCP,Вовасий, 17:41 , 15-Мрт-12
- Access-list DHCP,Сергей, 16:24 , 20-Мрт-12
  - Access-list DHCP,Вовасий, 16:46 , 20-Мрт-12

Сообщения в этом обсуждении

"Access-list DHCP"
Отправлено Сергей , 11-Мрт-12 14:26

Не дописал строчку, сорри:
permit udp 192.168.20.0 0.0.0.255 host 192.168.20.1 eq bootpc

"Access-list DHCP"
Отправлено eek , 12-Мрт-12 07:16

> На cisco 2811 (ip 192.168.0.1) поднят DHCP сервер.
> Задача - разрешить только выдачу адресов по DHCP,
> запретив доступ куда либо.
> ip access-list extended F1
>  remark PERMIT DHCP
>  permit udp 192.168.0.0 0.0.0.255 host 192.168.0.1 eq
>  remark DENY ALL TRAFF
>  deny   ip any any
> Ну и потом лист на интерфейсе in
> Правильно ли так?
Нет, так не пройдет dhcp descovery. Посмотрите как работает dhcp и нарисуйте соответственно.

"Access-list DHCP"
Отправлено Вовасий , 15-Мрт-12 17:41

>[оверквотинг удален]
> На cisco 2811 (ip 192.168.0.1) поднят DHCP сервер.
> Задача - разрешить только выдачу адресов по DHCP, запретив доступ куда либо.
> Правильно ли так?
> ip access-list extended F1
>  remark PERMIT DHCP
>  permit udp 192.168.0.0 0.0.0.255 host 192.168.0.1 eq
>  remark DENY ALL TRAFF
>  deny   ip any any
> Ну и потом лист на интерфейсе in
> Спасибо!
remark DHCP
permit tcp any any eq 67
permit tcp any any eq 68
permit udp any any eq bootps
permit udp any any eq bootpc
remark RestrictAccess
deny   ip any any

"Access-list DHCP"
Отправлено Сергей , 20-Мрт-12 16:24

>[оверквотинг удален]
>>  deny   ip any any
>> Ну и потом лист на интерфейсе in
>> Спасибо!
>  remark DHCP
>  permit tcp any any eq 67
>  permit tcp any any eq 68
>  permit udp any any eq bootps
>  permit udp any any eq bootpc
>  remark RestrictAccess
>  deny   ip any any
В аксесс листе только совпадение по одной строчке.
permit udp any any eq bootps (30 matches)
По остальным - тишина . При этом все работает.

"Access-list DHCP"
Отправлено Вовасий , 20-Мрт-12 16:46

> В аксесс листе только совпадение по одной строчке.
> permit udp any any eq bootps (30 matches)
> По остальным - тишина . При этом все работает.
Всё верно. В моём access-list'e перечислены все варианты сетевых протоколов для реализации вашей задачи, т.е. получения IP-адреса.