Serwer DHCP ochrona przed statycznym IP

[tassman]

Witam
Po skonfigurowaniu dhcp dla klientów wszystko działa jak należy. Niestety znane są mi przypadki gdzie kolega przychodzi do kolegi wipisuje stały statyczny adres IP na swoim komputerze.
Zasymulowałem taką sytuację na serwerze Ubuntu i niestety komputer uzyskał dostęp do internetu.
Czy istnieje takowe zabezpieczenie że tylko adresy wymienione w dhcpd.conf wraz z zapisaną konfiguracją MAC mogły otrzymać dostęp do internetu?
Mój konfig DHCP

Kod: Zaznacz cały

ddns-update-style none;

option domain-name "cc.com";
option domain-name-servers 1.191.8.2, 8.8.8.8;
default-lease-time 600;
max-lease-time 7200;
authoritative;
#log-facility local7;
subnet 172.22.22.0 netmask 255.255.255.0 {
#range 172.22.22.2 172.22.22.254;
option routers 172.22.22.1;
option broadcast-address 172.22.22.255;
default-lease-time 600;
max-lease-time 7200;
}


host tassman {
  hardware ethernet 02:21:70:76:d8:8b;
  fixed-address 172.22.22.2;
}

[czarnu]

blokada w firewallu odpowiednimi reułami

[toots]

Kod: Zaznacz cały

iptables -A INPUT -p tcp ! -s właściwy_adres_ip -m mac --mac-source mac_adres  -j DROP

[jacekalex]

Kod: Zaznacz cały

iptables -A INPUT -p tcp ! -s właściwy_adres_ip -m mac --mac-source mac_adres  -j DROP

Zabiłeś kotka takim lamerstwem.

Do takich rzeczy jest ipset:
http://www.varlog.pl/2010/03/ipset-znany-i-nieznany/

bitmap:ip,mac
The bitmap:ip,mac set type uses a memory range to store IPv4 and a MAC
address pairs. A bitmap:ip,mac type of set can store up to 65536
entries.

CREATE-OPTIONS := range fromip-toip|ip/cidr [ timeout value ]

ADD-ENTRY := ip[,macaddr]

ADD-OPTIONS := [ timeout value ]

DEL-ENTRY := ip[,macaddr]

TEST-ENTRY := ip[,macaddr]

Mandatory options to use when creating a bitmap:ip,mac type of set:

range fromip-toip|ip/cidr
Create the set from the specified inclusive address range
expressed in an IPv4 address range or network. The size of the
range cannot exceed the limit of maximum 65536 entries.

The bitmap:ip,mac type is exceptional in the sense that the MAC part
can be left out when adding/deleting/testing entries in the set. If we
add an entry without the MAC address specified, then when the first
time the entry is matched by the kernel, it will automatically fill out
the missing MAC address with the source MAC address from the packet. If
the entry was specified with a timeout value, the timer starts off when
the IP and MAC address pair is complete.

The bitmap:ip,mac type of sets require two src/dst parameters of the
set match and SET target netfilter kernel modules and the second one
must be src to match, add or delete entries because the set match and
SET target have access to the source MAC address only.

Examples:

ipset create foo bitmap:ip,mac range 192.168.0.0/16

ipset add foo 192.168.1.1,12:34:56:78:9A:BC

ipset test foo 192.168.1.1

RTFM:

Kod: Zaznacz cały

sudo apt-get install ipset;
man ipset;

Kod: Zaznacz cały

iptables -m set --help

Pozdro

[toots]

Kod: Zaznacz cały

iptables -A INPUT -p tcp ! -s właściwy_adres_ip -m mac --mac-source mac_adres  -j DROP

Zabiłeś kotka takim lamerstwem.

To zależy od spojrzenia, ja nie kopiowałem tej regułki z innej strony
Tassman czyli albo użyjesz czegoś swojego z regułkami firewalla albo np. z gotowców ipset.

[tassman]

I tak jestem szczęśliwy że uzyskałem odpowiedż po takim czasie. Obu Wam serdecznie dziękuję.

-- 05 kwi 2014 08:14 --

Co prawda jacekalex nie musiał aż tak Cię zmieszać z lamerstwem, bo przekazałeś cenne informacje, ale muszę przyznać mu rację. IPSET jest baaardzo poręczny w tej sytuacji.