dhcp с авторизацией по mac

0

0

Нужно сделать авторизацию по mac в относительно крупной сети при динамической раздаче ip адресов по dhcp. Подскажите куда копать?

Ссылка

←	[FreeBSD][amavisd-new] исключение для одного ящика.

Не находится репозиторий по svn+ssh

→

Тот dhcpd, который идет стандартно(от ISC), не умеет вроде, хотя опции (unauthenticated clients, authenticated clients) в deny/allow вроде есть. Может поновее версии и научили.

ef37 ★★
(21.09.09 21:27:19 MSD)

google>dhcp snooping

hizel ★★★★★
(21.09.09 21:33:11 MSD)

Авторизация по MAC — понятие довольно широкое. Пришедшие мне на ум варианты:

1. Выдавать айпишники только тем, чьи маки перечислены на сервере. Стандартный dhcpd умеет на ура.

2. Клиенты должны принимать dhcp-ответы только от сервера с заданным маком. Тут все-таки лучше сделать dhcp snooping на свиче, как верно заметил hizel.

3. Не пускать куда-нибудь людей с левыми маками. Если все соединены через свич, а на фаерволе линух — iptables в руки и вперед. Даже с ebtables можно не заморачиваться.

nnz ★★★★
(21.09.09 22:56:51 MSD)

Ответ на: комментарий от hizel 21.09.09 21:33:11 MSD

>dhcp snooping

тоесть эта штука защитит от подложного dhcp или обмана со стороны клиента

А этот конфиг сможет присвоит ip только ncd8?

subnet 204.254.239.0 netmask 255.255.255.224 {

ignore unknown-clients;

range 204.254.239.10 204.254.239.30;

}

host ncd8 { hardware ethernet 0:c0:c3:cc:a:8f; }

Fredy ★
(21.09.09 23:31:30 MSD) автор топика

Ответ на: комментарий от ef37 21.09.09 21:27:19 MSD

isc dhcpd умеет

anonymous
(21.09.09 23:32:28 MSD)

Ссылка

Ответ на: комментарий от nnz 21.09.09 22:56:51 MSD

>Авторизация по MAC — понятие довольно широкое.

скорее 1.

Я думал о третьем варианте, но боюсь, что если правил в iptables будет слишком много то это скажется на производительности.

Fredy ★
(21.09.09 23:46:33 MSD) автор топика

Ответ на: комментарий от Fredy 21.09.09 23:46:33 MSD

>Я думал о третьем варианте, но боюсь, что если правил в iptables будет слишком много то это скажется на производительности.

Не помню уже где, несколько лет назад читал про бенчмарк на эту тему. Вроде на тогдашнем железе с тогдашним ядром тысячи-десятки тысяч правил создавали миллисекундные задержки.

А вообще правильнее имхо юзать ipset macipmap. В дебиане есть штатная поддержка ipset. В stable емнип это пакет netfilter-extensions-source, но лично я работаю в основном с xtables-addons из testing и unstable.
ipset дает предельно высокую скорость проверки для больших списков адресов.

nnz ★★★★
(22.09.09 00:29:20 MSD)

Ссылка

Ответ на: комментарий от Fredy 21.09.09 23:31:30 MSD

>>dhcp snooping
>тоесть эта штука защитит от подложного dhcp или обмана со стороны клиента

Да.

>А этот конфиг сможет присвоит ip только ncd8?

Хм... У меня немного по-другому сделано (декларации host внутри subnet) — работает стопудово.

nnz ★★★★
(22.09.09 00:34:47 MSD)