The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DHCP сервер с фильтрацией"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (DHCP)
Изначальное сообщение [ Отслеживать ]

"DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 24-Май-12, 11:31 
Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам? либо dhcp сервер, который умеет работать с postgresql?
Цель выдавать адреса только известным хостам.
Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими пачками и прописывать все это хозяйство, занимает некоторое время + конфиг уже представляет из себя огромную портянку.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DHCP сервер с фильтрацией"  +/
Сообщение от anonymous (??) on 24-Май-12, 11:34 
> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
> либо dhcp сервер, который умеет работать с postgresql?
> Цель выдавать адреса только известным хостам.
> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
> уже представляет из себя огромную портянку.

Для работы с различными DBMS где-то были патчи. Сам не пробовал. А в чем проблема составлять конфиг скриптом из той же базы данных? В конфиге - deny unknown-clients и остальные фиксированные записи.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 24-Май-12, 13:29 
>> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
>> либо dhcp сервер, который умеет работать с postgresql?
>> Цель выдавать адреса только известным хостам.
>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>> уже представляет из себя огромную портянку.
> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
> в чем проблема составлять конфиг скриптом из той же базы данных?
> В конфиге - deny unknown-clients и остальные фиксированные записи.

То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На данный момент единственный вариант фильтрация с помощью iptables

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "DHCP сервер с фильтрацией"  +/
Сообщение от anonymous (??) on 24-Май-12, 18:34 
>[оверквотинг удален]
>>> либо dhcp сервер, который умеет работать с postgresql?
>>> Цель выдавать адреса только известным хостам.
>>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>>> уже представляет из себя огромную портянку.
>> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
>> в чем проблема составлять конфиг скриптом из той же базы данных?
>> В конфиге - deny unknown-clients и остальные фиксированные записи.
> То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На
> данный момент единственный вариант фильтрация с помощью iptables

А что фильтруете iptables? Как вообще звучит задача с самого начала?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 24-Май-12, 21:53 
>[оверквотинг удален]
>>>> Цель выдавать адреса только известным хостам.
>>>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>>>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>>>> уже представляет из себя огромную портянку.
>>> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
>>> в чем проблема составлять конфиг скриптом из той же базы данных?
>>> В конфиге - deny unknown-clients и остальные фиксированные записи.
>> То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На
>> данный момент единственный вариант фильтрация с помощью iptables
> А что фильтруете iptables? Как вообще звучит задача с самого начала?

есть сеть, где адреса раздает dhcp сервер, адреса должны получать только известные серверу хосты. Сейчас соответствие mac<->ip сейчас прописано статически, есть желание от этого уйти. Один из возможных вариантов, фильтровать трафик на dhcp сервере по мак адресам с помощью iptables, благо он это умеет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "DHCP сервер с фильтрацией"  +/
Сообщение от Pahanivo (ok) on 25-Май-12, 08:23 
фильтровать по признаку который легко поменять ... нюню ...


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 25-Май-12, 10:21 
> фильтровать по признаку который легко поменять ... нюню ...

А Вы не думали, что это вилан служит для устройств на которых мак подменить не так просто, например ip телефоны... Даже если подключить вместо телефона компьютер и подменить мак, нужно еще как минимум знать ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в компании найдется хотя бы один человек, который так будет заморачиваться с целью получить внутренний номер организации

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "DHCP сервер с фильтрацией"  +/
Сообщение от Pahanivo (ok) on 25-Май-12, 13:17 
> А Вы не думали, что это вилан служит для устройств на которых
> мак подменить не так просто, например ip телефоны... Даже если подключить
> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
> компании найдется хотя бы один человек, который так будет заморачиваться с
> целью получить внутренний номер организации

зачем человеку из компании получать внутр номер? у него че телефона нет?
или уборщица купила себе айпифон и хочет позвонить внучку фАмерику

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 31-Май-12, 22:02 
>> А Вы не думали, что это вилан служит для устройств на которых
>> мак подменить не так просто, например ip телефоны... Даже если подключить
>> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
>> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
>> компании найдется хотя бы один человек, который так будет заморачиваться с
>> целью получить внутренний номер организации
> зачем человеку из компании получать внутр номер? у него че телефона нет?
> или уборщица купила себе айпифон и хочет позвонить внучку фАмерику

Документы по информационной безопасности в компании пишу не я

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "DHCP сервер с фильтрацией"  +/
Сообщение от Pahanivo (ok) on 04-Июн-12, 07:51 
> Документы по информационной безопасности в компании пишу не я

мотороллер не мой, емана )


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

11. "DHCP сервер с фильтрацией"  +/
Сообщение от LSTemp (ok) on 26-Май-12, 04:33 
>> фильтровать по признаку который легко поменять ... нюню ...
> А Вы не думали, что это вилан служит для устройств на которых
> мак подменить не так просто, например ip телефоны... Даже если подключить
> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
> компании найдется хотя бы один человек, который так будет заморачиваться с
> целью получить внутренний номер организации

а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко везде. VLAN, ключи  - это изоляция на совсем другом уровне протоколов сетевой модели.

хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит ли идти на подобный шаг на софте - дело Ваше.

посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 31-Май-12, 22:03 
>[оверквотинг удален]
>> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
>> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
>> компании найдется хотя бы один человек, который так будет заморачиваться с
>> целью получить внутренний номер организации
> а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко
> везде. VLAN, ключи  - это изоляция на совсем другом уровне
> протоколов сетевой модели.
> хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит
> ли идти на подобный шаг на софте - дело Ваше.
> посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.

Это требование отдела информационной безопасности.
"жираф большой ему видней" Высоцкий

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "DHCP сервер с фильтрацией"  +/
Сообщение от LSTemp (ok) on 01-Июн-12, 05:44 
>[оверквотинг удален]
>>> компании найдется хотя бы один человек, который так будет заморачиваться с
>>> целью получить внутренний номер организации
>> а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко
>> везде. VLAN, ключи  - это изоляция на совсем другом уровне
>> протоколов сетевой модели.
>> хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит
>> ли идти на подобный шаг на софте - дело Ваше.
>> посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.
> Это требование отдела информационной безопасности.
> "жираф большой ему видней" Высоцкий

Мое дело маленькое - совет дать, как Вы со своими жирафами и прочим зоопарком разбираться будете - это совсем другая песня.

Из Ваших высказываний у меня просто складывается впечатление, что Вы не совсем понимаете о чем говорите:

1) VLAN позволяет делать эффективную изоляцию траффика на уровне 2 модели OSI. IP - это уже 3-й уровень данной модели - маршрутизация/пакетные фильты/итд.

2) IP-MAC уже сто лет как считается бредом ибо легко меняется как IP, так и MAC. при наличии VLAN - изолируйте клиентов на 2-м уровне и 3-й уровень уже просто не пляшет.

3) Ваша цель "выдавать адрес только известным хостам" весьма расплывчата и непонятна. Как организована сеть? Какие хосты должны "считаться известными" (по какому признаку?). Итд.

PS
ИМХО: очень мутно вопрос поставили. Опять же - на счет хранения настроек пакетного фильтра в БД - дело сугубо личное (м/б у Вас там все в промышленных масштабах), только очень часто от этого легко можно уйти при правильной постановке задачи.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "DHCP сервер с фильтрацией"  +/
Сообщение от pavlinux (ok) on 01-Июн-12, 05:38 
> Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
> от этого уйти.

и

> Один из возможных вариантов, фильтровать трафик на dhcp
> сервере по мак адресам с помощью iptables, благо он это умеет.

Люди, это меня глючит?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "DHCP сервер с фильтрацией"  +/
Сообщение от LSTemp (ok) on 01-Июн-12, 05:53 
>> Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
>> от этого уйти.
> и
>> Один из возможных вариантов, фильтровать трафик на dhcp
>> сервере по мак адресам с помощью iptables, благо он это умеет.
> Люди, это меня глючит?

Не глючит тебя.

IPT может маки проверять при загрузке соответствующего модуля уже лет 100 как. Только эффективность проверки каждого ОТДЕЛЬНОГО мака в большой и меняющейся сети ч/з IPT - сам понимаешь...


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "DHCP сервер с фильтрацией"  +/
Сообщение от AdVv email(ok) on 04-Июн-12, 21:54 
> есть сеть, где адреса раздает dhcp сервер, адреса должны получать только известные
> серверу хосты. Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
> от этого уйти. Один из возможных вариантов, фильтровать трафик на dhcp
> сервере по мак адресам с помощью iptables, благо он это умеет.

Что-то я не пойму вас, если вы собираетесь фильтровать по макам, то должен быть список разрешенных маков. DHCP это умеет, но вас не устраивает "портянка". А портянка в конфиге iptables вас значит устраивает ?!
Кстати, сколько тут было плевков в сторону виндового реестра ... Только хардкор, только реляционная СУБД для хранения простого списка хостов ?!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "DHCP сервер с фильтрацией"  +/
Сообщение от Дмитрий (??) on 24-Май-12, 11:35 
> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
> либо dhcp сервер, который умеет работать с postgresql?
> Цель выдавать адреса только известным хостам.
> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
> уже представляет из себя огромную портянку.

DHCP3 фильтрация по МАС

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 24-Май-12, 13:30 
>> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
>> либо dhcp сервер, который умеет работать с postgresql?
>> Цель выдавать адреса только известным хостам.
>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>> уже представляет из себя огромную портянку.
> DHCP3 фильтрация по МАС

Гугл не помог. может ссылку кинете?
Возможно вы имеете ввиду:

class "private-hosts" {
        match if substring (option hardware,0,10) = "1:00:50:56";
}

pool {
        range 192.168.0.150 192.168.0.175;
        allow members of "private-hosts";
}
тоже, как вариант, не плох, если конечно в можно вписать множество условий, пошел курить маны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "DHCP сервер с фильтрацией"  +/
Сообщение от Aleks305 (ok) on 24-Май-12, 22:37 
>[оверквотинг удален]
> class "private-hosts" {
>         match if substring (option
> hardware,0,10) = "1:00:50:56";
> }
> pool {
>         range 192.168.0.150 192.168.0.175;
>         allow members of "private-hosts";
> }
> тоже, как вариант, не плох, если конечно в можно вписать множество условий,
> пошел курить маны.

можно фильтровать на активном сетевом оборудовании, например связкой DHCP-Snooping + Dynamic Arp inspection. Cisco, HP точно поддерживают данную фичу.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "DHCP сервер с фильтрацией"  +/
Сообщение от pavlinux (ok) on 01-Июн-12, 05:47 
> тоже, как вариант, не плох, если конечно в можно вписать множество условий,
> пошел курить маны.


authoritative;
class "EBAN_PLANKTON" {
       match pick-first-value(option dhcp-client-identifier, hardware);
}
# У нас таких ~3000 прописано.
subclass "EBAN_PLANKTON" 1:e0:69:11:11:11:11; #1 JOPA
subclass "EBAN_PLANKTON" 1:e0:69:22:22:22:22; #2 PZDA
subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO
# ...
subnet 172.16.0.0 netmask 255.255.0.0 {
   pool {
         allow members of "EBAN_PLANKTON";
         range dynamic-bootp 172.16.0.2 172.16.255.254;
}

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "DHCP сервер с фильтрацией"  +/
Сообщение от iprobed (ok) on 01-Июн-12, 20:55 
>[оверквотинг удален]
> subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO
> # ...
> subnet 172.16.0.0 netmask 255.255.0.0 {
>    pool {
>          allow members of
> "EBAN_PLANKTON";
>          range dynamic-bootp 172.16.0.2
> 172.16.255.254;
> }
>

спасибо! :-)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру