Dúvida simples sobre DHCPD

removido
(usa Nenhuma)

Enviado em 27/03/2013 - 12:33h

Bom... Configurei um servidor DHCPD com a seguinte configuração básica:

ddns-update-style none;

default-lease-time 600;

max-lease-time 7200;



authoritative;



subnet 192.168.0.0 netmask 255.255.255.0 {

      range 192.168.0.10 192.168.0.199;

      option routers 192.168.0.1;

      option domain-name-servers 8.8.8.8;

      option broadcast-address 192.168.0.255;

}



host pc1 {

      hardware ethernet 00:21:87:D3:03:D0;

      fixed-address 192.168.0.10;

      option host-name "pc1";

}



 

Bom... Está tudo funcionando normalmente. Se eu coloco o terminal em DHCP, ele pega o IP designado. Porém, se eu configurar o IP manualmente no terminal para por exemplo 192.168.1.178, ele consegue se conectar com esse novo endereço. Como devo proceder para FORÇAR a determinada máquina ao IP designado ou simplesmente "barrá-la" caso não esteja com seu devido IP?

jptudobem
(usa Debian)

Enviado em 27/03/2013 - 17:47h

Não tem jeito.

Rei Tenguh
(usa Arch Linux)

Enviado em 27/03/2013 - 19:02h

Nas configurações de alguns modems (na maioria, eu suponho) tem a possibilidade de barrar o acesso a determinados IPs ou libera-lo apenas a determinados IPs. Isso não ajudaria?

leogazio
(usa Debian)

Enviado em 27/03/2013 - 19:09h

Deixa eu ver se eu entendi o que você quer; Você quer impedir no ato que seja feita uma configuração manual usando um IP que esteja dentro do range do DHCP? Se for isso isso não existe amigo.

removido
(usa Nenhuma)

Enviado em 28/03/2013 - 08:28h

Então... A situação é exatamente essa. Acontece que vou configurar também um servidor samba, e cada compartilhamento terá uma lista de ip's que permite o acesso a eles. Logo, isso seria inútil se algum "espertinho" fizer uma configuração manual de IP em um terminal, mudando para o IP que teria uma determinada permissão no samba. Não pretendo usar controle de usuários no samba, por isso pensei nessa alternativa. Nesse caso, seria ao menos possível configurar o compartilhamento samba por "MAC" e não por IP?

Já tinha visto um servidor uma vez que quando o usuário tentava pôr na configuração manual e ela não estava com o IP determinado a ela pelo DHCP, a máquina não conseguia se 'estabilizar' na rede. Coisas como "Conectividade Nula ou Limitada" ou "Rede não identificada". Era exatamente isso que queria. Alguém tem alguma dica para essas proteções em relação ao 'samba'?

jptudobem
(usa Debian)

Enviado em 28/03/2013 - 08:49h

Jeito tradicional, ou seja, uma configuração seja no serviço DHCP ou Samba não existe, mas jeitos paliativos sempre existem.

Você pode pensar no seguinte algoritimo e jogá-lo num script.
Já que você está "amarrando" um IP ao MAC Address, pode fazer:

1 - Criar uma lista em um arquivo com o IP e MAC correspondente.
2 - Criar outra lista em um arquivo com a saída e a devida filtragem do comando "nmap -sP 192.168.0.0/24" (Esse comando te retorno todos os IPs e seus respectivos MACs conectados na rede).
3 - Compara os dois arquivos, se tiver diferença vindo do arquivo 2, mete um drop no iptables.

Deu pra sacar?

jptudobem
(usa Debian)

Enviado em 28/03/2013 - 09:00h

OBS:
o nmap usa o protocolo icmp para desobrir os dispositivos na rede, se o engraçadinho tiver com o firewall configurado para bloquear as respostas icmp, você pode usar o "arping", inclusive é muito mais eficiente.

removido
(usa Nenhuma)

Enviado em 28/03/2013 - 09:41h

Certamente deu pra sacar... Rsrs... Boa essa alternativa.

stefaniobrunhara
(usa CentOS)

Enviado em 28/03/2013 - 12:35h

já tentei várias soluções, a única eficaz é você criar uma policy no Windows, que impede o usuário de configurar a placa de rede.

Com iptables você só pode criar regras com destino no servidor, isto não impedirá do usuário criar um conflito de ip, que pode parar a maquina do chefe ou até mesmo o servidor.

Situação: Você tem muitos usuários na sua rede, um deles coloca o ip do servidor na estação, no momento que você anunciou que ia reiniciar o servidor, quando o servidor acabar de bootar ninguém tem acessa ao servidor, porque a estação ficou sendo dona do ip dele, em uma empresa grande até você achar o usuário o chefe já ligou para a TI uma 10 vezes. kkk

Se o usuário sabe trocar ip, o próximo passo que ele aprenderá e clonar o mac da maquina que tem privilégios. Que não é difícil! No mesmo local onde se troca o ip é só cliquar no botão configurações, abaixo do nome da placa de rede, aba avançado, na opção Endereço de rede. Hoje todas as placas de rede tem este recurso.

Normalmente o usuário faz isto com a maquina do chefe que tem os privilégios e sempre esta desligada, ou com maquinas que tem este perfil.

Tudo depende do senário da sua rede se é rede pequena, da para conviver com este problema.