isc dhcp сервер авторизация по MAC адресу

В dhcpd.conf пропиши:

deny unknown-clients;

host foobar { hardware ethernet ff:ff:ff:ff:ff:ff ; fixed-address 192.168.0.1 ; }

Строк вида host foobar { … } — по одной на каждый хост. Вместо foobar, ff:ff:ff:ff:ff:ff и 192.168.0.1 подставляй имена узлов, MAC-адреса интерфейсов и IP-адреса, которые им будет назначать сервер DHCP соответствено.

поспешил я радоваться( прописал я....специально поменял у себя мак, авторизуется долго...но все таки авторизовался и получил айпишник и интернет(((

если авторизация, то тогда 802.1x ;)

У isc dhcpd есть ивозможность запускать скрипт при получении/освобождении адреса.

  on commit {
        set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        execute("/etc/dhcpd-event.sh", "commit", ClientIP, ClientMac);
  }
  on release {
        set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        execute("/etc/dhcpd-event.sh", "release", ClientIP, ClientMac);
  }
  on expiry {
        set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
        execute("/etc/dhcpd-event.sh", "expiry",ClientIP);
  }

Так что фильтровать тех кто неизвестен можно.

На управляемых коммутаторах обычно есть такая возможность фиксировать на порту пару ip/mac...

Уважаемый а можно подробнее...как это все реализовать и куда что вписывать....мне этот кусок кода мало о чем пока говорит(

назрена тебе это?

Уважаемый а можно подробнее...как это все реализовать и куда что вписывать....мне этот кусок кода мало о чем пока говорит(

это общественный форум, сдесь люди самовыражаются, а то о чем ты просишь называется техподдержка. И если первое бесплатно, то второе нет. Идея ясна?

самовыражайся у себя на кухне...я прошу помощи в реализации данного вопроса...если тебе этот кусок кода о чем то говорит, то мне вообще ниочем...вот и прошу помощи разобраться и понять тонкости данного вопроса.

в dhcpd.conf
сделай скрипт /etc/dhcpd-event.sh с 4мя входными параметрами
в зависимости от действия добавляй/удалять запись в ipset
в iptables сделай ACCEPT и источником только из созданного ipset'а

Варианта 2:

1) православный: умные свичи, 802.1x
2) дрыщаво-бюджетный: deny unknown clients, статическая арп-привязка, настроенный файрвол

самовыражайся у себя на кухне...

поубавьте гонору, мой юный друг-полгода на форуме. Выдача айпишников dhcp-сервером определённым макам не защитит вашу сеть от левых клиентов, которые могут подделать мак или использовать свои настройки сети.

из второго пункта следует убрать слово «бюджетный», ибо свитчи с 802.1х стоят копейки

Тут таки согласен. Больше проблем в настройке для wannabe-админов. Ибо к ним еще надо RADIUS настроить.

уже что то проясняется) спасибо уважаемый! вот только по поводу iptables немного не ясно...не обижайтесь я только учусь...

есть ipset, у него есть bitmap:ip,mac
т.е. можно составить список из ip+mac

iptables имеет модуль для работы с ipset.
Таким образом имея ipset и iptables можно запретить все, чего нет в этом сформированном списке ipset

Всем большое спасибо за помощь! отдельное спасибо ii343hbka за помощь в реализации даннной задачи.