Слова все понятные, а чего вам хочется как-то не очень понятно.

своим dhcp клиентам

Если вы объясните, чем «свой» dhcp-клиент отличается от «чужого», то может кто и поможет.

Если мне мой libastral.so не изменяет, то ТС хочется отсекать статику и пускать только динамику. Зачем — это другой вопрос.

Вот возможный вектор поиска: http://lists.debian.org/debian-firewall/2004/07/msg00067.html

вопрос поставлен конечно суперски. может ему просто range указать надо в правиле? а вот если действительно нужно (или ОП думает, что нужно) пускать фактические лизы, а остальное отсекать... ну попахивает дурдомом.

своим dhcp клиентам

Как варинат - ограничение по мак-адресам, которые прописаны в DHCP

Вам учитель информатики доверил в школе ДХЦП сервер поднять?

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html — это про ограничение доступа по mac-адресам. Далее надо смотреть, как это можно к dhcp-серверу привязать. Крайний варинат — скрипт, отслеживающий изменения в dhcpd.leases

Другой вопрос, зачем? Если нужно разрешить доступ только с определённых компьютеров, то, думаю, лучше непосредственно вбить их mac-адреса.

Куратор одобряет ваше поведение, скоро у вас отрастет звезда, если снова не поедет крыша.

Чего?

Мы следим за вами.

Кто мы?

Вы задаете слишком много вопросов. Задайте вопрос себе - оно вам надо?

Успокойся.

Вы не в том положении, чтобы разговаривать с куратором таким тоном. Рекомендую вести себя сдержанно, иначе у вас будут гаснуть звезды.

Умный свитч который будет отсекать неправильные mac. На linux что-то на вроде dhcp option 82 или что-то подобное.

«свой» dhcp-клиент

Спасибо за отклик Константин.. Роль сервера раздача интернета и контроль локальные сети (VPN pptp server billing Abills+Squid для интернета, DHCP-server,ipfilter для локальные сети) всё в одном 172.22.10.1:), DHCP-server (172.10.0.1)раздаёть ip 172.10.0.0/16. Я хочу чтобы мои «dhcp клиенты» который арендующий фиксирование ip+mac подсети (172.10.0.0/16 из dhcpd.conf) из DHCP-server (172.10.0.1) имели доступ к сервисам (net,databases..) сервера. А те которые вручную установили к себе (172.10.0.0/16 gateway 172.22.10.1) не могли получить доступ к сети сервера и сети его dhcp-клиентов. Цель этого шаманство контроль ip адресов всех клиентов.

Другой вопрос, зачем? Если нужно разрешить доступ только с определённых компьютеров, то, думаю, лучше непосредственно вбить их mac-адреса.

Спасибо за хорошие вариант Ttt .. http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html — отличное статья. Но прирезать все мои userов в iptables mac-source очень трудно,их не очень мало (больше 700, уже из счёта сбиваюсь) . Основываться безопасности сети по mac адресам не очень эффективной решения, userи могут за день найти прогу для изменение мак адресов из нета и прописать мак адрес соседа или любое адрес не фиксирование в dhcpd сервера в этом же подсети (боюсь разжигания войны за mac адресами)

Может есть динамичный решения в iptables и (типа POSTROUTING -d ..only my dhcp-lan... -o wan_eth -j masquerade..) Или других ПО в линуксе.

Умный свитч

Спасибо за ответь DALDON,

Умный свитч могут ли фиксировать мак адрес с ip адресам usera. (00:17:08:54:d7:33 пускать только в той случае когда его ip 192.168.10.1 ) если есть пожалуйста можете подсказать пример

Можно. Пример не приведу. Но к примеру у моего домашнего Интернет провайдера именно так и сделано. Если придти с другим маком или с верным mac но не верным ip, или попытаться влезть в сеть без получения адреса по dhcp (хотя вот тут не уверен на 100 процентов) - порт тутже выключается. И приходится звонить в ТП. Я думаю там умные свитчи умеют разговаривать по dhcp.

Умный свитч провайдера

А вы уверении что это свитч? может это сервер линуксоид (или unix, и.др)в которым крутится какая то биллинг, или проста в iptables прописан iptables -A INPUT -p tcp -s 192.168.X.X -m mac --mac-source 01:0G:EA:51:14:07 -j ACCEPT

работающие без перевязки с DHCP сервером.

Провайдер очень хороший, очень большой (100к охват населения). Так что думаю биллинги и iptables там точно не катируются... Насколько я знаю у них в ДЦ киски, а по подъездам умные свитчи более дешёвые просто.

Я до конца не понял вашу схему, но, ИМХО, где-то вы не так понимаете DHCP. Насколько мне известно, dhcp не содержит какой-либо авторизации. Если вы допускаете, что «чужой» может подменить у себя и MAC и ip адреса, то на уровне ethernet его не отличишь.

Да, как указал beastie, dhcp-сервер может при выдачи лизы (ip-адреса) выполнить скрипт и в этот скрипт можно засунуть модификацию правил iptables. Но, dhcp-клиент далеко не всегда сообщает о завершении аренды (освобождении) ip-адреса. То есть, допустим «свой» dhcp-клиент получил ip-адрес, потом у него сгорел блок питания, «чужой» взял его MAC и ip адреса и работает дальше.

P.S. Все «умные» свичи сами мало что умеют, обычно их непрерывно контролирует сервер и принимает решение (допустим, постоянно смотрит arp-таблицу на свиче).

Тред не читал, вангую что ТС хочет static arp обновляемый по событию dhcp и/или вручную/веб-морда.

802.1x, остальное либо костыли, либо безумие