URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93408
[ Назад ]

Исходное сообщение
"DHCP сервер с фильтрацией"
Отправлено iprobed , 24-Май-12 11:31

Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам? либо dhcp сервер, который умеет работать с postgresql?
Цель выдавать адреса только известным хостам.
Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими пачками и прописывать все это хозяйство, занимает некоторое время + конфиг уже представляет из себя огромную портянку.

Содержание

DHCP сервер с фильтрацией,anonymous, 11:34 , 24-Май-12
- DHCP сервер с фильтрацией,iprobed, 13:29 , 24-Май-12
  - DHCP сервер с фильтрацией,anonymous, 18:34 , 24-Май-12
    - DHCP сервер с фильтрацией,iprobed, 21:53 , 24-Май-12
      - DHCP сервер с фильтрацией,Pahanivo, 08:23 , 25-Май-12
        
        DHCP сервер с фильтрацией,iprobed, 10:21 , 25-Май-12
        
        DHCP сервер с фильтрацией,Pahanivo, 13:17 , 25-Май-12
        
        DHCP сервер с фильтрацией,iprobed, 22:02 , 31-Май-12
        
        DHCP сервер с фильтрацией,Pahanivo, 07:51 , 04-Июн-12
        
        DHCP сервер с фильтрацией,LSTemp, 04:33 , 26-Май-12
        
        DHCP сервер с фильтрацией,iprobed, 22:03 , 31-Май-12
        
        DHCP сервер с фильтрацией,LSTemp, 05:44 , 01-Июн-12
      - DHCP сервер с фильтрацией,pavlinux, 05:38 , 01-Июн-12
        
        DHCP сервер с фильтрацией,LSTemp, 05:53 , 01-Июн-12
      - DHCP сервер с фильтрацией,AdVv, 21:54 , 04-Июн-12
DHCP сервер с фильтрацией,Дмитрий, 11:35 , 24-Май-12
- DHCP сервер с фильтрацией,iprobed, 13:30 , 24-Май-12
  - DHCP сервер с фильтрацией,Aleks305, 22:37 , 24-Май-12
  - DHCP сервер с фильтрацией,pavlinux, 05:47 , 01-Июн-12
    - DHCP сервер с фильтрацией,iprobed, 20:55 , 01-Июн-12

Сообщения в этом обсуждении

"DHCP сервер с фильтрацией"
Отправлено anonymous , 24-Май-12 11:34

> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
> либо dhcp сервер, который умеет работать с postgresql?
> Цель выдавать адреса только известным хостам.
> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
> уже представляет из себя огромную портянку.
Для работы с различными DBMS где-то были патчи. Сам не пробовал. А в чем проблема составлять конфиг скриптом из той же базы данных? В конфиге - deny unknown-clients и остальные фиксированные записи.

"DHCP сервер с фильтрацией"
Отправлено iprobed , 24-Май-12 13:29

>> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
>> либо dhcp сервер, который умеет работать с postgresql?
>> Цель выдавать адреса только известным хостам.
>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>> уже представляет из себя огромную портянку.
> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
> в чем проблема составлять конфиг скриптом из той же базы данных?
> В конфиге - deny unknown-clients и остальные фиксированные записи.
То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На данный момент единственный вариант фильтрация с помощью iptables

"DHCP сервер с фильтрацией"
Отправлено anonymous , 24-Май-12 18:34

>[оверквотинг удален]
>>> либо dhcp сервер, который умеет работать с postgresql?
>>> Цель выдавать адреса только известным хостам.
>>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>>> уже представляет из себя огромную портянку.
>> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
>> в чем проблема составлять конфиг скриптом из той же базы данных?
>> В конфиге - deny unknown-clients и остальные фиксированные записи.
> То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На
> данный момент единственный вариант фильтрация с помощью iptables
А что фильтруете iptables? Как вообще звучит задача с самого начала?

"DHCP сервер с фильтрацией"
Отправлено iprobed , 24-Май-12 21:53

>[оверквотинг удален]
>>>> Цель выдавать адреса только известным хостам.
>>>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>>>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>>>> уже представляет из себя огромную портянку.
>>> Для работы с различными DBMS где-то были патчи. Сам не пробовал. А
>>> в чем проблема составлять конфиг скриптом из той же базы данных?
>>> В конфиге - deny unknown-clients и остальные фиксированные записи.
>> То, что Вы предлагаете сейчас реализовано, хотелось бы уйти от этого. На
>> данный момент единственный вариант фильтрация с помощью iptables
> А что фильтруете iptables? Как вообще звучит задача с самого начала?
есть сеть, где адреса раздает dhcp сервер, адреса должны получать только известные серверу хосты. Сейчас соответствие mac<->ip сейчас прописано статически, есть желание от этого уйти. Один из возможных вариантов, фильтровать трафик на dhcp сервере по мак адресам с помощью iptables, благо он это умеет.

"DHCP сервер с фильтрацией"
Отправлено Pahanivo , 25-Май-12 08:23

фильтровать по признаку который легко поменять ... нюню ...

"DHCP сервер с фильтрацией"
Отправлено iprobed , 25-Май-12 10:21

> фильтровать по признаку который легко поменять ... нюню ...
А Вы не думали, что это вилан служит для устройств на которых мак подменить не так просто, например ip телефоны... Даже если подключить вместо телефона компьютер и подменить мак, нужно еще как минимум знать ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в компании найдется хотя бы один человек, который так будет заморачиваться с целью получить внутренний номер организации

"DHCP сервер с фильтрацией"
Отправлено Pahanivo , 25-Май-12 13:17

> А Вы не думали, что это вилан служит для устройств на которых
> мак подменить не так просто, например ip телефоны... Даже если подключить
> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
> компании найдется хотя бы один человек, который так будет заморачиваться с
> целью получить внутренний номер организации
зачем человеку из компании получать внутр номер? у него че телефона нет?
или уборщица купила себе айпифон и хочет позвонить внучку фАмерику

"DHCP сервер с фильтрацией"
Отправлено iprobed , 31-Май-12 22:02

>> А Вы не думали, что это вилан служит для устройств на которых
>> мак подменить не так просто, например ip телефоны... Даже если подключить
>> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
>> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
>> компании найдется хотя бы один человек, который так будет заморачиваться с
>> целью получить внутренний номер организации
> зачем человеку из компании получать внутр номер? у него че телефона нет?
> или уборщица купила себе айпифон и хочет позвонить внучку фАмерику
Документы по информационной безопасности в компании пишу не я

"DHCP сервер с фильтрацией"
Отправлено Pahanivo , 04-Июн-12 07:51

> Документы по информационной безопасности в компании пишу не я
мотороллер не мой, емана )

"DHCP сервер с фильтрацией"
Отправлено LSTemp , 26-Май-12 04:33

>> фильтровать по признаку который легко поменять ... нюню ...
> А Вы не думали, что это вилан служит для устройств на которых
> мак подменить не так просто, например ip телефоны... Даже если подключить
> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
> компании найдется хотя бы один человек, который так будет заморачиваться с
> целью получить внутренний номер организации
а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко везде. VLAN, ключи - это изоляция на совсем другом уровне протоколов сетевой модели.
хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит ли идти на подобный шаг на софте - дело Ваше.
посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.

"DHCP сервер с фильтрацией"
Отправлено iprobed , 31-Май-12 22:03

>[оверквотинг удален]
>> вместо телефона компьютер и подменить мак, нужно еще как минимум знать
>> ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в
>> компании найдется хотя бы один человек, который так будет заморачиваться с
>> целью получить внутренний номер организации
> а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко
> везде. VLAN, ключи - это изоляция на совсем другом уровне
> протоколов сетевой модели.
> хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит
> ли идти на подобный шаг на софте - дело Ваше.
> посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.
Это требование отдела информационной безопасности.
"жираф большой ему видней" Высоцкий

"DHCP сервер с фильтрацией"
Отправлено LSTemp , 01-Июн-12 05:44

>[оверквотинг удален]
>>> компании найдется хотя бы один человек, который так будет заморачиваться с
>>> целью получить внутренний номер организации
>> а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко
>> везде. VLAN, ключи - это изоляция на совсем другом уровне
>> протоколов сетевой модели.
>> хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит
>> ли идти на подобный шаг на софте - дело Ваше.
>> посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.
> Это требование отдела информационной безопасности.
> "жираф большой ему видней" Высоцкий
Мое дело маленькое - совет дать, как Вы со своими жирафами и прочим зоопарком разбираться будете - это совсем другая песня.
Из Ваших высказываний у меня просто складывается впечатление, что Вы не совсем понимаете о чем говорите:
1) VLAN позволяет делать эффективную изоляцию траффика на уровне 2 модели OSI. IP - это уже 3-й уровень данной модели - маршрутизация/пакетные фильты/итд.
2) IP-MAC уже сто лет как считается бредом ибо легко меняется как IP, так и MAC. при наличии VLAN - изолируйте клиентов на 2-м уровне и 3-й уровень уже просто не пляшет.
3) Ваша цель "выдавать адрес только известным хостам" весьма расплывчата и непонятна. Как организована сеть? Какие хосты должны "считаться известными" (по какому признаку?). Итд.
PS
ИМХО: очень мутно вопрос поставили. Опять же - на счет хранения настроек пакетного фильтра в БД - дело сугубо личное (м/б у Вас там все в промышленных масштабах), только очень часто от этого легко можно уйти при правильной постановке задачи.

"DHCP сервер с фильтрацией"
Отправлено pavlinux , 01-Июн-12 05:38

> Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
> от этого уйти.
и
> Один из возможных вариантов, фильтровать трафик на dhcp
> сервере по мак адресам с помощью iptables, благо он это умеет.
Люди, это меня глючит?

"DHCP сервер с фильтрацией"
Отправлено LSTemp , 01-Июн-12 05:53

>> Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
>> от этого уйти.
> и
>> Один из возможных вариантов, фильтровать трафик на dhcp
>> сервере по мак адресам с помощью iptables, благо он это умеет.
> Люди, это меня глючит?
Не глючит тебя.
IPT может маки проверять при загрузке соответствующего модуля уже лет 100 как. Только эффективность проверки каждого ОТДЕЛЬНОГО мака в большой и меняющейся сети ч/з IPT - сам понимаешь...

"DHCP сервер с фильтрацией"
Отправлено AdVv , 04-Июн-12 21:54

> есть сеть, где адреса раздает dhcp сервер, адреса должны получать только известные
> серверу хосты. Сейчас соответствие mac<->ip сейчас прописано статически, есть желание
> от этого уйти. Один из возможных вариантов, фильтровать трафик на dhcp
> сервере по мак адресам с помощью iptables, благо он это умеет.
Что-то я не пойму вас, если вы собираетесь фильтровать по макам, то должен быть список разрешенных маков. DHCP это умеет, но вас не устраивает "портянка". А портянка в конфиге iptables вас значит устраивает ?!
Кстати, сколько тут было плевков в сторону виндового реестра ... Только хардкор, только реляционная СУБД для хранения простого списка хостов ?!

"DHCP сервер с фильтрацией"
Отправлено Дмитрий , 24-Май-12 11:35

> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
> либо dhcp сервер, который умеет работать с postgresql?
> Цель выдавать адреса только известным хостам.
> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
> уже представляет из себя огромную портянку.
DHCP3 фильтрация по МАС

"DHCP сервер с фильтрацией"
Отправлено iprobed , 24-Май-12 13:30

>> Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам?
>> либо dhcp сервер, который умеет работать с postgresql?
>> Цель выдавать адреса только известным хостам.
>> Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими
>> пачками и прописывать все это хозяйство, занимает некоторое время + конфиг
>> уже представляет из себя огромную портянку.
> DHCP3 фильтрация по МАС
Гугл не помог. может ссылку кинете?
Возможно вы имеете ввиду:
class "private-hosts" {
        match if substring (option hardware,0,10) = "1:00:50:56";
}
pool {
        range 192.168.0.150 192.168.0.175;
        allow members of "private-hosts";
}
тоже, как вариант, не плох, если конечно в можно вписать множество условий, пошел курить маны.

"DHCP сервер с фильтрацией"
Отправлено Aleks305 , 24-Май-12 22:37

>[оверквотинг удален]
> class "private-hosts" {
>         match if substring (option
> hardware,0,10) = "1:00:50:56";
> }
> pool {
>         range 192.168.0.150 192.168.0.175;
>         allow members of "private-hosts";
> }
> тоже, как вариант, не плох, если конечно в можно вписать множество условий,
> пошел курить маны.
можно фильтровать на активном сетевом оборудовании, например связкой DHCP-Snooping + Dynamic Arp inspection. Cisco, HP точно поддерживают данную фичу.

"DHCP сервер с фильтрацией"
Отправлено pavlinux , 01-Июн-12 05:47

> тоже, как вариант, не плох, если конечно в можно вписать множество условий,
> пошел курить маны.


authoritative;class "EBAN_PLANKTON" {
       match pick-first-value(option dhcp-client-identifier, hardware);
}
# У нас таких ~3000 прописано.
subclass "EBAN_PLANKTON" 1:e0:69:11:11:11:11; #1 JOPA
subclass "EBAN_PLANKTON" 1:e0:69:22:22:22:22; #2 PZDA
subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO
# ...
subnet 172.16.0.0 netmask 255.255.0.0 {
   pool {
         allow members of "EBAN_PLANKTON";
         range dynamic-bootp 172.16.0.2 172.16.255.254;
}

"DHCP сервер с фильтрацией"
Отправлено iprobed , 01-Июн-12 20:55

>[оверквотинг удален]
> subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO
> # ...
> subnet 172.16.0.0 netmask 255.255.0.0 {
>    pool {
>          allow members of
> "EBAN_PLANKTON";
>          range dynamic-bootp 172.16.0.2
> 172.16.255.254;
> }
>
спасибо! :-)