forum.opennet.ru - "DHCPd" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"DHCPd"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"DHCPd"
Сообщение от Chris on 15-Фев-03, 23:12 (MSK)
У меня есть два разделения (два сегмента адресов), мне нужно 1. Если клиент подходит по МАС адресу, то он бы добалялся на один адрес 2. Если МАС адрес не подходит, то его бы перебрасывало на другой ип адрес... как это сделать в DHCPd? или это делается автоматически, если написаны подсети и настройки ниже определения ип по мас адресам???
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯКЕ А..., дЛХРПХИ ч. йЮПОНБ, 00:24 , 16-Фев-03, (1)
- RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Chris, 11:09 , 16-Фев-03, (2)
- RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Chris, 13:28 , 16-Фев-03, (3)
- RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Chris, 14:02 , 16-Фев-03, (4)
  - RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Timothy_ChG, 08:29 , 17-Фев-03, (5)
    - RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Mercurius, 13:46 , 17-Фев-03, (6)
      - RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..., Timothy_ChG, 14:46 , 17-Фев-03, (7)
        
        -, Dmitry.Karpov, 14:52 , 17-Фев-03, (8)
        
        RE: -, lavr, 16:03 , 17-Фев-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯКЕ А..."

Сообщение от дЛХРПХИ ч. йЮПОНБ on 16-Фев-03, 00:24  (MSK)

гЮБНДХЬЭ ДКЪ ЙЮФДНЦН ЙКХЕМРЮ ЯРПНВЙС РХОЮ
host ХЛЪ.ДНЛЕМ { hardware ethernet 00:50:04:09:de:32; fixed-address 172.16.1.19; }
мЮ БЯЕУ НЯРЮКЭМШУ - НДМС ЯРПНВЙС РХОЮ
range 172.16.235.129 172.16.235.253;

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Chris on 16-Фев-03, 11:09  (MSK)

Я так и понял, просто стпросил ещё раз! СПАСИБО!

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Chris on 16-Фев-03, 13:28  (MSK)

ипа такого должно получиться?
option domain-name "***";
option domain-name-servers 192.168.0.15;
default-lease-time 3600;
max-lease-time 7200;
ddns-update-style ad-hoc;
log-facility local7;


subnet 192.168.0.0 netmask 255.255.255.0 {

host chris {
option routers   192.168.0.1;
option subnet-mask  255.255.255.0;

hardware ethernet 00:E0:4C:77:20:99;
fixed-address 192.168.0.1;
server-name "192.168.015";
}


range 192.168.0.25 192.168.0.254;
}

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Chris on 16-Фев-03, 14:02  (MSK)

Впринципе работать то будет, а вот как быть если пользователь назначил сбе ip вручную? Ведь назначится, а если на свободный назначит из сети доступной в преобразование то будет назаляву в инет лазить...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Timothy_ChG on 17-Фев-03, 08:29  (MSK)

>Впринципе работать то будет, а вот как быть если пользователь назначил сбе
>ip вручную? Ведь назначится, а если на свободный назначит из сети
>доступной в преобразование то будет назаляву в инет лазить...
Первое что пришло в голову - резать ВСЁ в Null, а что назначено не резать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Mercurius on 17-Фев-03, 13:46  (MSK)

>>Впринципе работать то будет, а вот как быть если пользователь назначил сбе
>>ip вручную? Ведь назначится, а если на свободный назначит из сети
>>доступной в преобразование то будет назаляву в инет лазить...
>
>Первое что пришло в голову - резать ВСЁ в Null, а что
>назначено не резать.
Ммм... это как?
Кстати да... как проблему сего плана решить в сетях с dhcp? Если юзер возьмет себе от балды айпишник - в сеть то его пропустит, и интернет у него будет.
и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны где адреса по dhcp раздаются). и чтобы эти воксы не могли вбивать айпи вручную.
как сие организовать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."

Сообщение от Timothy_ChG on 17-Фев-03, 14:46  (MSK)

>Ммм... это как?
>Кстати да... как проблему сего плана решить в сетях с dhcp? Если
>юзер возьмет себе от балды айпишник - в сеть то его
>пропустит, и интернет у него будет.
>и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть
>есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны
>где адреса по dhcp раздаются). и чтобы эти воксы не могли
>вбивать айпи вручную.
>как сие организовать?
Вот я и говорю, роути ВСЁ в NULL. а то что МОЖНО - куда нужно

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "-"

Сообщение от Dmitry.Karpov on 17-Фев-03, 14:52  (MSK)

Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к статье о различиях между локальными и глобальными сетями. Запишите наизусть и повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать - помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь между сегментами, а внутри сегмента можно навести порядок только путем физического отлова хулишанящих юзеров и пинания их по почкам.
Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE (так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем, осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или Ethernet). Это - полноценное решение типа того, которое используется при DialUp.
Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика; недостаток - паролируются только HTTP/FTP-запросы.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: -"

Сообщение от lavr on 17-Фев-03, 16:03  (MSK)

>Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к
>статье о различиях между локальными и глобальными сетями. Запишите наизусть и
>повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не
>сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать -
>помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер
>так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами
>маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь
>между сегментами, а внутри сегмента можно навести порядок только путем физического
>отлова хулишанящих юзеров и пинания их по почкам.
Дим, может расширишь свою статью добавив это и удачную мысль Валентина
Нечаева:
route add не_существующий_адрес -reject
правда в той давней перепалке еще было и другое предложение discard устройство пользовать, тоже вариант
обсуждение проблемы можно посмотреть:
http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&inlang=ru&threadm=995385304@p66.f5.n5022.z2.fidonet.ftn&rnum=1&prev=/groups?as_epq=static%20arp&ie=windows-1251&as_ugroup=fido7.ru.unix.bsd&lr=&as_drrb=b&as_mind=12&as_minm=5&as_miny=1997&as_maxd=16&as_maxm=2&as_maxy=2003&hl=ru
>Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE
>(так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем,
>осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или
>Ethernet). Это - полноценное решение типа того, которое используется при DialUp.
>
>
>Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy
>типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика;
>недостаток - паролируются только HTTP/FTP-запросы.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯКЕ А..."
Сообщение от дЛХРПХИ ч. йЮПОНБ on 16-Фев-03, 00:24 (MSK)
гЮБНДХЬЭ ДКЪ ЙЮФДНЦН ЙКХЕМРЮ ЯРПНВЙС РХОЮ host ХЛЪ.ДНЛЕМ { hardware ethernet 00:50:04:09:de:32; fixed-address 172.16.1.19; } мЮ БЯЕУ НЯРЮКЭМШУ - НДМС ЯРПНВЙС РХОЮ range 172.16.235.129 172.16.235.253;
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Chris on 16-Фев-03, 11:09 (MSK)
	Я так и понял, просто стпросил ещё раз! СПАСИБО!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Chris on 16-Фев-03, 13:28 (MSK)
	ипа такого должно получиться? option domain-name "***"; option domain-name-servers 192.168.0.15; default-lease-time 3600; max-lease-time 7200; ddns-update-style ad-hoc; log-facility local7; subnet 192.168.0.0 netmask 255.255.255.0 { host chris { option routers 192.168.0.1; option subnet-mask 255.255.255.0; hardware ethernet 00:E0:4C:77:20:99; fixed-address 192.168.0.1; server-name "192.168.015"; } range 192.168.0.25 192.168.0.254; }
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Chris on 16-Фев-03, 14:02 (MSK)
	Впринципе работать то будет, а вот как быть если пользователь назначил сбе ip вручную? Ведь назначится, а если на свободный назначит из сети доступной в преобразование то будет назаляву в инет лазить...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Timothy_ChG on 17-Фев-03, 08:29 (MSK)
	>Впринципе работать то будет, а вот как быть если пользователь назначил сбе >ip вручную? Ведь назначится, а если на свободный назначит из сети >доступной в преобразование то будет назаляву в инет лазить... Первое что пришло в голову - резать ВСЁ в Null, а что назначено не резать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Mercurius on 17-Фев-03, 13:46 (MSK)
	>>Впринципе работать то будет, а вот как быть если пользователь назначил сбе >>ip вручную? Ведь назначится, а если на свободный назначит из сети >>доступной в преобразование то будет назаляву в инет лазить... > >Первое что пришло в голову - резать ВСЁ в Null, а что >назначено не резать. Ммм... это как? Кстати да... как проблему сего плана решить в сетях с dhcp? Если юзер возьмет себе от балды айпишник - в сеть то его пропустит, и интернет у него будет. и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны где адреса по dhcp раздаются). и чтобы эти воксы не могли вбивать айпи вручную. как сие организовать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: бЯЕ ОПХЛХРХБМН ДН АЕГНАПЮГХЪ, БН БПЕЛЪ АЕГНАЧПЮГХЪ Х ОНЯ..."
	Сообщение от Timothy_ChG on 17-Фев-03, 14:46 (MSK)
	>Ммм... это как? >Кстати да... как проблему сего плана решить в сетях с dhcp? Если >юзер возьмет себе от балды айпишник - в сеть то его >пропустит, и интернет у него будет. >и может возникнуть конфликт адресов... как запретить юзерам вбивать айпишники (то есть >есть некоторое кол-во серверов где адреса вбиты статически, а есть воркстейшны >где адреса по dhcp раздаются). и чтобы эти воксы не могли >вбивать айпи вручную. >как сие организовать? Вот я и говорю, роути ВСЁ в NULL. а то что МОЖНО - куда нужно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "-"
	Сообщение от Dmitry.Karpov on 17-Фев-03, 14:52 (MSK)
	Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к статье о различиях между локальными и глобальными сетями. Запишите наизусть и повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать - помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь между сегментами, а внутри сегмента можно навести порядок только путем физического отлова хулишанящих юзеров и пинания их по почкам. Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE (так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем, осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или Ethernet). Это - полноценное решение типа того, которое используется при DialUp. Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика; недостаток - паролируются только HTTP/FTP-запросы.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: -"
	Сообщение от lavr on 17-Фев-03, 16:03 (MSK)
	>Чтобы решить эту проблему раз и навсегда, отсылаю всех на http://prof.pi2.ru к >статье о различиях между локальными и глобальными сетями. Запишите наизусть и >повесьте на стенку: IP-номер машины формируется самОй машиной, и никто не >сможет помешать ей использовать любой IP-номер. Единственное, что можно сделать - >помешать ей получать информацию, посланную на этот IP-номер: собственно, любой IP-роутер >так и делает, распределяя IP-пакеты в соотвествии со своими внутренними тамблицами >маршрутизации. Дополнительно можно привлечь IP-фильтры (FireWalls), но и они действуют лишь >между сегментами, а внутри сегмента можно навести порядок только путем физического >отлова хулишанящих юзеров и пинания их по почкам. Дим, может расширишь свою статью добавив это и удачную мысль Валентина Нечаева: route add не_существующий_адрес -reject правда в той давней перепалке еще было и другое предложение discard устройство пользовать, тоже вариант обсуждение проблемы можно посмотреть: http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&inlang=ru&threadm=995385304@p66.f5.n5022.z2.fidonet.ftn&rnum=1&prev=/groups?as_epq=static%20arp&ie=windows-1251&as_ugroup=fido7.ru.unix.bsd&lr=&as_drrb=b&as_mind=12&as_minm=5&as_miny=1997&as_maxd=16&as_maxm=2&as_maxy=2003&hl=ru >Правда, на выход наружу можно повесить более другую :-) систему типа PPPoE >(так работает подключение к http://www.tochka.ru), VPN, IPSec, PPTP и прочих систем, >осуществляющих авторизуемое по паролю соединение "точка-точка" поверх пакетной сети (IP или >Ethernet). Это - полноценное решение типа того, которое используется при DialUp. > > >Еще можно закрыть прямой доступ к порту:80 и предложить выход через HTTP-Proxy >типа Squid, на котором будет спрашиваться пароль. Преимущество - кэширование трафика; >недостаток - паролируются только HTTP/FTP-запросы.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх