Forum Linux.général restriction de l'acces au dhcp

• # Encore plus simple

  Posté par gnumdk (site web personnel) le 29 juin 2007 à 21:13. Évalué à 5.

  

  http://hibbert.univ-lille3.fr/~cbellegarde/dhcpd.conf
  
  Regarde ce fichier de conf...
  
  Tu supprime le "pool" Portable et ca doit fonctionner...
  
  Pour configurer les clients ayant droit à une ip, voir au début du fichier.

  • [^] # Re: Encore plus simple

    Posté par obi1 kenobi le 30 juin 2007 à 13:07. Évalué à 1.

    

    merci pour le lien.
    
    J'ai recherché un peu sur le net et j'ai trouvé une variante. Je voudrais savoir quelle est la diférence entre :
    
    
    class "multimedia" {
    match if substring (option classid,1,5) = "\0MULTI";
    }
    
    
    et
    
    
    class "lan_level_1" {
    match if substring (option dhcp-client-identifier,0,5) = "LAN_1";
    }
    
    
    De plus, est il possible par extension de coupler l'information de clients inconnus des classes avec le firewall pour interdire l'acces au net par exemples à ces hôtes inconnus ?
    
    Merci pour votre aide

    • [^] # Re: Encore plus simple

      Posté par NeoX le 01 juillet 2007 à 11:34. Évalué à 1.

      

      1°) je ne sais pas
      
      2°)

      
      De plus, est il possible par extension de coupler l'information de clients inconnus des classes avec le firewall pour interdire l'acces au net par exemples à ces hôtes inconnus ?
      

      
      
      au niveau du DHCP :
      soit tu ne donnes pas d'ip aux clients inconnus (et du coup y a pas d'internet, mais pas non plus de reseau)
      
      soit tu donnes une IP mais pas de passerelle
      
      au niveau du parefeu :
      tu auras remarqué que dans l'exemple on utilise des plages IP differente, voire des VLAN.
      
      ben il suffit de fermer le parefeu pour les communications en provenance et vers ces IP ou ces VLAN.

• # Restriction par adresse MAC

  Posté par champix le 01 juillet 2007 à 15:54. Évalué à 1.

  

  Je ne sais pas trop ce qu'est le classid Windows mentionné plus haut, en tout cas voici comment je fais :
  
  On commence par définir les adresses MAC connues dans des déclarations host :
  
  
  host XXX {
  hardware ethernet XX:XX:XX:XX:XX:XX;
  }
  
  
  Vu qu'on prend la peine de lister les adresses MAC, autant en profiter pour attribuer une IP fixe a chacune de ces adresses :
  
  
  host {
  hardware ethernet XX:XX:XX:XX:XX:XX;
  fixed-address A.B.C.D;
  }
  
  
  Pour que le DHCP ne fournisse pas d'adresse aux hôtes non répertoriés, il suffit de ne pas définir de range.
  
  Si on utilise pas d'attribution fixe, utiliser l'instruction "deny unknown-clients", qui peut être placée à tout "scope" (global, subnet, etc.) qui ignorera les clients n'ayant pas de déclaration host.
  
  Le dhcp ne garantie aucune sécurité, pour éviter que les postes clients ne s'attribuent des adresses manuellement, petite règle iptables à placer sur le routeur, qui marque les paquets dont le couple MAC/IP est connu en PREROUTING, et qui droppe les paqués non marqués en FORWARD
  
  
  iptables -t mangle -A PREROUTING -i $nic_lan -s A.B.C.D -m mac --mac-source XX:XX:XX:XX:XX --set-mark 0x1
  # [...] Lister tous les couples IP/MAC
  
  iptables -A FORWARD -i $nic_lan -m mark ! --mark 0x1 -j DROP
  
  
  Ceci est un bref exemple, j'ai écrit un ensemble de scripts qui, à partir d'un référentiel csv, génère automatiquement la conf dhcp et les règles iptables qui vont bien. En ligne dès que tuxfamily aura activé mon compte :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.