[ SlackList ] [ WkikiSlack ] |
Mateusz Potrykus napisał(a):
> Witam.
>
> Może najpierw przedstawię wersję slacka - 10.0.
> Mam taki problem. Wiem, że można zrbić coś takiego w dhcp...
> Przechodzę do sprawy. Mam małą sieć osiedlową. Stałym
> komputerom przypisałem ip z sieci 192.168.1.0/24, niestety
> niektórzy podłączają swoje drugie lub inne komputery do tej
> sieci i DHCPd przypisuje im adres z tej właśnie sieci
> (192.168.1.0). Jak zrobić w dhcpd.conf, żeby DHCPd przypisywało
> adresy z sieci 192.168.1.0, a dynamicznie przypisywało z sieci
> 192.168.2.0?
> Komendą 'iptables -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE -t nat
>uruchamiam routing na sieć 192.168.1.0/24. Pomocy!
>
> P.S. Chcę to postawić na jednej maszynie. Na chłopski rozum chodzi
> mi o to, żeby komputery, które są na stałe do tej sieci podłączone
> otrzymywały swoje stałe IP, na które udostępniony jest internet.
> Natomist te, które się 'nielegalnie' podłączają otrzymywały ip
> dynamiczne z inną podsiecią (192.168.2.0/24), na które internet
>nie jest udostępniony). Sprawdzałem na google - nic nie ma...
>
np tak ale mozna to zrobic na wiele innych sposobow
w dhcpd.conf sa wpisy dla kompow ktore sa uprawnione do dostepu do
internetu i dostaja taki sam ip wg sojego macadresu
host host-1.074 {
hardware ethernet 00:0D:5D:52:5F:5A;
fixed-address 192.168.1.55;
}
a iptables powinno odrzucac pakiety w ktorych nie zgadza sie para ip i
macadres
iptables -t nat -A PREROUTING -s 192.168.1.55 -m mac --mac-source !
00:0D:5D:52:5F:5A -j DROP
teraz mozna to troszke ulatwic i robic wpisy tylko w dhcpd.conf a w
skrypcie ktorym konfigurujesz iptables wyciagac te informacje, ponizej
cos na czym moze uda cie sie bazowac w twojej sieci do budowy firewalla
cat "$dhcp_conf" | while read linia
do
first=`echo $linia | awk '{print $1}'`
if [ "$first" == "host" ]
then
read linia
mac=`echo $linia | awk '{print gensub(";","",1,$3)}'`
read linia
ip=`echo $linia | awk '{print gensub(";","",1,$2)}'`
$ipt -t nat -A PREROUTING -s $ip -m mac --mac-source ! $mac -j DROP
$ipt -t nat -A POSTROUTING -s $ip -j SNAT --to-source $zew_ip
fi
done
jezeli chcesz zeby pozostale hosty tez dostawaly jakis ip ale nie mialy
dostepu do netu to wpisz np pule adresow od 2 do 25 rozdawanych bez
konkretnego macadresu
subnet 192.168.0.0 netmask 255.255.248.0 {
range 192.168.1.2 192.168.1.25;
}
temat blokowania "nadmiarowych" userow w sieci jest dobrze opisany na
forum.slackware.pl
-- olekReceived on Tue May 10 22:08:46 2005