• Zarejestrowany: 2011-08-03
  • Posty: 56

Temat: DHCP: dwa pytania

Witam,
Przepraszam, jeśli coś mi umknęło, ale nie mogę doszukać się w internecie nic nt. dwóch problemów:
1. Co w LEDE (lub LuCI) odpowiada za to, aby blokować urządzenia ze statycznym IP (szczególnie tych wyraźnie zdefiniowanych w konfiguracji dnsmasq lub leases / hosts?
Np. jeżeli klient 00:01:02:03:04:05 ma przypisany adres 192.168.1.101, to jeśli sam sobie wpisze jakikolwiek inny adres IP nie miał dostępu do sieci. Tu uwaga - chodzi "załatwienie sprawy" jedną komendą, zamiast zakładania oddzielnej reguły w firewall lub iptables dla każdego z osobna.

2. W jaki sposób ustawić, by klientom były wysyłane DNS-y ISP a nie adres routera? Ważne: nie chcę na stałę ich definiować; chcę tylko, by wysłane były zawsze te zwrócone przez ISP (po WAN).
Np. jeżeli DHCP ISP zwraca, dajmy na to, adres 217.30.129.149, to ten sam adres DNS ma być widoczny u klienta po wpisaniu chociażby ipconfig /all.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,868

Odp: DHCP: dwa pytania

1. iptables. Wpuszczaj tylko znane pary mac/ip
2. Nie ma jak. Jak otrzymasz adresy z klienta dhcp to podnosi się interfejs wan. Możesz na hotsplugu na ifup interfejsu wan zrobić sobie skrypt który odczyta z /tmp/resolv.conf.auto dnsy które  otrzymałeś i podstawisz jest w konfigu dnsmasq dla klientów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Polarus

  • Zarejestrowany: 2011-08-03
  • Posty: 56

Odp: DHCP: dwa pytania

czyli dla każdej pary ip/mac muszę tworzyć regułę?  Dodam tylko, że nieznanym mac-om ma przydzielać adresy z puli

4 Odpowiedź przez mar_w (edytowany przez mar_w 2017-06-29 00:11:40)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: DHCP: dwa pytania

Polarus napisał/a:

czyli dla każdej pary ip/mac muszę tworzyć regułę?  Dodam tylko, że nieznanym mac-om ma przydzielać adresy z puli

Trochę dziwna ta polityka, ale cóż.
Czyli chcesz:
1. Nieznany MAC - dostaje adres i dostęp
2. Znany MAC i prawidłowy IP - dostaje dostęp
3. Znany MAC i "zły" IP - odmowa dostępu

Może utwórz sobie pary MAC/IP w pliku /etc/ethers i napisz skrypt (a w nim pętle), który czyta iteracyjnie ten plik od początku do końca, kolejno, pojedyńcze linie (np. przy starcie lub jeszcze inaczej) i podstawia za odczytane zmienne odpowiednie wartości MAC oraz IP do komendy z iptables. Dalej Wykonuje komendę iptables, którą wstawia na początku łańcucha i czyta kolejną linię z pliku /etc/ethers.

I teraz. W komendzie iptables będzie $MAC oraz negacja adresu $IP (odczytanego w tej samej iteracji co MAC)  a potem -j DROP.
Co to daje. User ze znanym MAC ale INNYM IP niż zakładasz w pliku, załapie sie do tej reguły i będzie DROP.
User ze znanym MAC i "dobrym" IP nie spełni drugiego warunku, czyli nie oszukuje, więc automatycznie przejdzie w domyślnej polityce firewalla dla sieci LAN.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *