Mateusz Potrykus napisał(a):
> Witam.
>
> Może najpierw przedstawię wersję slacka - 10.0.
> Mam taki problem. Wiem, że można zrbić coś takiego w dhcp...
> Przechodzę do sprawy. Mam małą sieć osiedlową. Stałym
> komputerom przypisałem ip z sieci 192.168.1.0/24, niestety
> niektórzy podłączają swoje drugie lub inne komputery do tej
> sieci i DHCPd przypisuje im adres z tej właśnie sieci
> (192.168.1.0). Jak zrobić w dhcpd.conf, żeby DHCPd przypisywało
> adresy z sieci 192.168.1.0, a dynamicznie przypisywało z sieci
> 192.168.2.0?
> Komendą 'iptables -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE -t nat
>uruchamiam routing na sieć 192.168.1.0/24. Pomocy!
>
> P.S. Chcę to postawić na jednej maszynie. Na chłopski rozum chodzi
> mi o to, żeby komputery, które są na stałe do tej sieci podłączone
> otrzymywały swoje stałe IP, na które udostępniony jest internet.
> Natomist te, które się 'nielegalnie' podłączają otrzymywały ip
> dynamiczne z inną podsiecią (192.168.2.0/24), na które internet
>nie jest udostępniony). Sprawdzałem na google - nic nie ma...
>

np tak ale mozna to zrobic na wiele innych sposobow

w dhcpd.conf sa wpisy dla kompow ktore sa uprawnione do dostepu do
internetu i dostaja taki sam ip wg sojego macadresu

host host-1.074 {
    hardware ethernet 00:0D:5D:52:5F:5A;
    fixed-address 192.168.1.55;
}

a iptables powinno odrzucac pakiety w ktorych nie zgadza sie para ip i
macadres

iptables -t nat -A PREROUTING -s 192.168.1.55 -m mac --mac-source !
00:0D:5D:52:5F:5A -j DROP

teraz mozna to troszke ulatwic i robic wpisy tylko w dhcpd.conf a w
skrypcie ktorym konfigurujesz iptables wyciagac te informacje, ponizej
cos na czym moze uda cie sie bazowac w twojej sieci do budowy firewalla

cat "$dhcp_conf" | while read linia
  do
   first=`echo $linia | awk '{print $1}'`
    if [ "$first" == "host" ]
    then
      read linia
      mac=`echo $linia | awk '{print gensub(";","",1,$3)}'`
      read linia
      ip=`echo $linia | awk '{print gensub(";","",1,$2)}'`
      $ipt -t nat -A PREROUTING -s $ip -m mac --mac-source ! $mac -j DROP
      $ipt -t nat -A POSTROUTING -s $ip -j SNAT --to-source $zew_ip

    fi
  done

jezeli chcesz zeby pozostale hosty tez dostawaly jakis ip ale nie mialy
dostepu do netu to wpisz np pule adresow od 2 do 25 rozdawanych bez
konkretnego macadresu

subnet 192.168.0.0 netmask 255.255.248.0 {
    range 192.168.1.2 192.168.1.25;
}

temat blokowania "nadmiarowych" userow w sieci jest dobrze opisany na
forum.slackware.pl

-- 
olek