Forum Debian Users Gang

bohun · 2007-09-23 15:36:14

Witam.
Chciałym zrobić cos takiego :
Pewna grupa ludzi dostaje ip po macu z dhcp, a osoby które nie są dopisane do dhcp po macu zeby dostawali ip z zupelnie innej klasy adresowej i po wejsciu na dowolną stronę dostawali informacje ze np "nie są dopisani do sieci"
Jak to wykonać za pomocą konfiguracji dhcp?

Gryzon · 2007-09-23 16:26:50

DHCP:

Kod:

shared-network KLIENCI {
subnet 192.168.2.0 netmask 255.255.255.0 {
default-lease-time 86400;
max-lease-time 86400;
option routers 192.168.2.1;
option domain-name-servers 192.168.2.1;
        host KLIENT {
                hardware ethernet 00:11:22:22:33:33; fixed-address 192.168.2.10;
        }

}
}

shared-network POZOSTALI {
subnet 10.0.0.0 netmask 255.255.255.0 {
default-lease-time 86400;
max-lease-time 86400;
option routers 10.0.0.1;
option domain-name-servers 10.0.0.1;
range 10.0.0.10 10.0.0.100;

}
}

Taka konfiguracja zrobi że osoby które masz dopisane dostaną poprawny adres IP, natomiast pozostali otrzymają adres 10.0.0.*

Za pomocą firewalla przekieruj ruch z portu 80 podsieci 10.0.0.0 na virtualhost z apache w którym będziesz miał stronę z informacją na dowolnym porcie.

Wszystkie pozostałe porty zablokuj.

Przy uruchamianiu komunikatu możesz wesprzeć się artykułem z Matczynej strony

http://dug.net.pl/faq/faq-3-42-zablokowanie_interne … ierowanie.php

szewczyk · 2007-09-23 16:28:49

dajesz w dhcpd.conf :

Kod:

range 192.168.0.100 - 192.168.0.240
subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 194.204.159.1 , 194.204.152.34;
    option routers 192.168.0.1;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.0.255;
    }


host admin {
    hardware ethernet 00:06:8C:12:34:56;
    fixed-address 192.168.0.2;
    }

userzy którzy dostają IP z DHCP bez wpisanego MAC adresu dostają adresy z puli 192.168.0.100 - 192.168.0.240

reszta to przekierowania w iptables oraz jakaś stronka np w apache na portcie 88

bohun · 2007-09-23 16:59:01

...o to mi chodziło, dzięki :)

qluk · 2007-09-27 19:00:55

Gdybys wpisał "man dhcpd.conf" znalazlbys dokladnie przyklad omawiajacy ow problem a nawet wiecej. Ale nie po co sie meczyc....
Pozostaje problem w jakiej klasie adresowej więc pracuje router :P :>

Po drugie w DHCP nie skonfigurujesz wyswieltania komus strony, a w miare rozsadnym rozwiazaniem bedzie uzycie serwera proxy do tego.

Gryzon, przyznam iż schludny i czysty konfig. Ale patrząc po klasach to jest to siec z dwoma routerami/jednym routerem z kilkoma interfejsami sieciowymi :)

bohun · 2007-09-29 14:03:53

A aliasy ?

milo-23 · 2010-06-18 12:05:29

Witam

chciałem zrobić coś podobnego jak w tym temacie
zrobiłem wpis w dhcpd.conf

i przydziela adresy tylko z pierwszej klasy adresowej
to pomyślałem o zrobieniu interfejsu virtualnego ale to też nic nie dało...

ma ktoś jakiś pomysł co trzeba jeszcze dopisać i gdzie żeby zaskoczyło ?

milo-23 · 2010-06-24 04:41:23

No i jednak już po sprawie :)
u mnie wystarczyło zrobić to na zasadzie:

shared-network sharedname {

subnet 10.0.0.0 netmask 255.0.0.0 {
range 10.0.5.170 10.0.5.190;
option broadcast-address 10.255.255.255;
option routers 10.0.5.1;
}

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.170 192.168.1.190;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
}

}

Ostatnio edytowany przez milo-23 (2010-06-24 04:58:25)

johny · 2010-06-24 19:49:31

Pamiętaj, że jak ktoś sobie wpisze ręcznie adres ip to będzie miał dostęp do netu. Także, jeżeli to ma służyć zabezpieczeniu tego, aby tylko określone osoby miały wyjście na świat to dawaj im dostęp w iptables indywidualnie po macu, a nie bazując na samym adresie podsieci.

Ostatnio edytowany przez johny (2010-06-24 19:55:05)

skotx · 2010-06-24 19:59:22

johny napisał(-a):
Pamiętaj, że jak ktoś sobie wpisze ręcznie adres ip to będzie miał dostęp do netu. Także, jeżeli to ma służyć zabezpieczeniu tego, aby tylko określone osoby miały wyjście na świat to dawaj im dostęp w iptables indywidualnie po macu, a nie bazując na adresie podsieci.

Można dodawać wpisy tego typu do dhcp, po co zaśmiecać iptables:

Kod:

host V2171 {
hardware ethernet 00:0f:ea:54:ef:91;
fixed−address 192.168.1.171 ;

host V2172 {
hardware ethernet 00:0f:ea:54:ef:11;
fixed−address 192.168.1.172;

itd..
}

saiqard · 2010-06-25 20:39:53

skotx napisał(-a):
johny napisał(-a):
Pamiętaj, że jak ktoś sobie wpisze ręcznie adres ip to będzie miał dostęp do netu. Także, jeżeli to ma służyć zabezpieczeniu tego, aby tylko określone osoby miały wyjście na świat to dawaj im dostęp w iptables indywidualnie po macu, a nie bazując na adresie podsieci.
Można dodawać wpisy tego typu do dhcp, po co zaśmiecać iptables:
Kod:
host V2171 {
hardware ethernet 00:0f:ea:54:ef:91;
fixed−address 192.168.1.171 ;

host V2172 {
hardware ethernet 00:0f:ea:54:ef:11;
fixed−address 192.168.1.172;

itd..
}

Ale jeśli zrobisz taki wpis w dhcp a nie ruszysz iptables, to dalej użytkownik może na sztywno ustawić sobie adres IP i będzie miał dostęp do neta

Luc3k · 2010-06-27 17:46:21

A jakimi formułkami można zrobić takie przekierowanie do strony na danym porcie?

Forum Debian Users Gang

Ogłoszenie

#1 2007-09-23 15:36:14

bohun - Użytkownik

Konfiguracja dhcp

#2 2007-09-23 16:26:50

Gryzon - Użytkownik

Re: Konfiguracja dhcp

Kod:

#3 2007-09-23 16:28:49

szewczyk - Stary wyjadacz :P

Re: Konfiguracja dhcp

Kod:

#4 2007-09-23 16:59:01

bohun - Użytkownik

Re: Konfiguracja dhcp

#5 2007-09-27 19:00:55

qluk - Pan inż. Cyc

Re: Konfiguracja dhcp

#6 2007-09-29 14:03:53

bohun - Użytkownik

Re: Konfiguracja dhcp

#7 2010-06-18 12:05:29

milo-23 - Użytkownik

Re: Konfiguracja dhcp

#8 2010-06-24 04:41:23

milo-23 - Użytkownik

Re: Konfiguracja dhcp

#9 2010-06-24 19:49:31

johny - Użytkownik

Re: Konfiguracja dhcp

#10 2010-06-24 19:59:22

skotx - Członek DUG

Re: Konfiguracja dhcp

johny napisał(-a):

Kod:

#11 2010-06-25 20:39:53

saiqard - Użytkownik

Re: Konfiguracja dhcp

skotx napisał(-a):

johny napisał(-a):

Kod:

#12 2010-06-27 17:46:21

Luc3k - Użytkownik

Re: Konfiguracja dhcp

Stopka forum