https://www.opennet.ru/openforum/vsluhforumID1/93408.html Существуют ли под линукс dhpc сервера c возможностью фильтрации по мак адресам? либо dhcp сервер, который умеет работать с postgresql?<br>Цель выдавать адреса только известным хостам.<br>Сейчас сделано ввиде статической привязки, не устраивает, то что хосты добавляются большими пачками и прописывать все это хозяйство, занимает некоторое время + конфиг уже представляет из себя огромную портянку.<br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#20 Mon, 04 Jun 2012 17:54:07 GMT &gt; есть сеть, где адреса раздает dhcp сервер, адреса должны получать только известные <br>&gt; серверу хосты. Сейчас соответствие mac&lt;-&gt;ip сейчас прописано статически, есть желание <br>&gt; от этого уйти. Один из возможных вариантов, фильтровать трафик на dhcp <br>&gt; сервере по мак адресам с помощью iptables, благо он это умеет. <br><br>Что-то я не пойму вас, если вы собираетесь фильтровать по макам, то должен быть список разрешенных маков. DHCP это умеет, но вас не устраивает "портянка". А портянка в конфиге iptables вас значит устраивает ?! <br>Кстати, сколько тут было плевков в сторону виндового реестра ... Только хардкор, только реляционная СУБД для хранения простого списка хостов ?!<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#19 Mon, 04 Jun 2012 03:51:23 GMT &gt; Документы по информационной безопасности в компании пишу не я <br><br>мотороллер не мой, емана )<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#18 Fri, 01 Jun 2012 16:55:04 GMT &gt;[оверквотинг удален]<br>&gt; subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO <br>&gt; # ...<br>&gt; subnet 172.16.0.0 netmask 255.255.0.0 { <br>&gt; pool { <br>&gt; allow members of <br>&gt; "EBAN_PLANKTON"; <br>&gt; range dynamic-bootp 172.16.0.2 <br>&gt; 172.16.255.254; <br>&gt; } <br>&gt; [/code] <br><br>спасибо! :-)<br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#17 Fri, 01 Jun 2012 01:53:02 GMT &gt;&gt; Сейчас соответствие mac&lt;-&gt;ip сейчас прописано статически, есть желание <br>&gt;&gt; от этого уйти.<br>&gt; и <br>&gt;&gt; Один из возможных вариантов, фильтровать трафик на dhcp <br>&gt;&gt; сервере по мак адресам с помощью iptables, благо он это умеет.<br>&gt; Люди, это меня глючит?<br><br>Не глючит тебя. <br><br>IPT может маки проверять при загрузке соответствующего модуля уже лет 100 как. Только эффективность проверки каждого ОТДЕЛЬНОГО мака в большой и меняющейся сети ч/з IPT - сам понимаешь...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#16 Fri, 01 Jun 2012 01:47:48 GMT &gt; тоже, как вариант, не плох, если конечно в можно вписать множество условий, <br>&gt; пошел курить маны.<br><br>[code]<br>authoritative;<br><br>class "EBAN_PLANKTON" {<br> match pick-first-value(option dhcp-client-identifier, hardware);<br>}<br><br># У нас таких ~3000 прописано.<br>subclass "EBAN_PLANKTON" 1:e0:69:11:11:11:11; #1 JOPA<br>subclass "EBAN_PLANKTON" 1:e0:69:22:22:22:22; #2 PZDA<br>subclass "EBAN_PLANKTON" 1:e0:69:33:33:33:33; #3 GVNO<br># ...<br><br>subnet 172.16.0.0 netmask 255.255.0.0 {<br> pool {<br> allow members of "EBAN_PLANKTON";<br> range dynamic-bootp 172.16.0.2 172.16.255.254;<br>}<br>[/code]<br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#15 Fri, 01 Jun 2012 01:44:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; компании найдется хотя бы один человек, который так будет заморачиваться с <br>&gt;&gt;&gt; целью получить внутренний номер организации <br>&gt;&gt; а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко <br>&gt;&gt; везде. VLAN, ключи - это изоляция на совсем другом уровне <br>&gt;&gt; протоколов сетевой модели.<br>&gt;&gt; хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит <br>&gt;&gt; ли идти на подобный шаг на софте - дело Ваше.<br>&gt;&gt; посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.<br>&gt; Это требование отдела информационной безопасности.<br>&gt; "жираф большой ему видней" Высоцкий <br><br>Мое дело маленькое - совет дать, как Вы со своими жирафами и прочим зоопарком разбираться будете - это совсем другая песня.<br><br>Из Ваших высказываний у меня просто складывается впечатление, что Вы не совсем понимаете о чем говорите:<br><br>1) VLAN позволяет делать эффективную изоляцию траффика на уровне 2 модели OSI. IP - это уже 3-й уровень данной модели - маршрутизация/пакетные фильты/итд. <br><br>2) IP-MAC уж https://www.opennet.ru/openforum/vsluhforumID1/93408.html#14 Fri, 01 Jun 2012 01:38:12 GMT &gt; Сейчас соответствие mac&lt;-&gt;ip сейчас прописано статически, есть желание <br>&gt; от этого уйти. <br><br>и <br><br>&gt; Один из возможных вариантов, фильтровать трафик на dhcp <br>&gt; сервере по мак адресам с помощью iptables, благо он это умеет. <br><br>Люди, это меня глючит? <br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#13 Thu, 31 May 2012 18:03:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; вместо телефона компьютер и подменить мак, нужно еще как минимум знать <br>&gt;&gt; ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в <br>&gt;&gt; компании найдется хотя бы один человек, который так будет заморачиваться с <br>&gt;&gt; целью получить внутренний номер организации <br>&gt; а при чем тут простите vlan и прочая хрень? IP-MAC меняется легко <br>&gt; везде. VLAN, ключи - это изоляция на совсем другом уровне <br>&gt; протоколов сетевой модели.<br>&gt; хотите сетевой фильтр сделать зависимым от другого сервиса (DB)? не знаю стоит <br>&gt; ли идти на подобный шаг на софте - дело Ваше.<br>&gt; посмотрите http://ebtables.sourceforge.net м/б чем-то поможет.<br><br>Это требование отдела информационной безопасности. <br>"жираф большой ему видней" Высоцкий<br> https://www.opennet.ru/openforum/vsluhforumID1/93408.html#12 Thu, 31 May 2012 18:02:14 GMT &gt;&gt; А Вы не думали, что это вилан служит для устройств на которых <br>&gt;&gt; мак подменить не так просто, например ip телефоны... Даже если подключить <br>&gt;&gt; вместо телефона компьютер и подменить мак, нужно еще как минимум знать <br>&gt;&gt; ключ шифрования, которым шифруются конфиги телефонов. Я не думаю, что в <br>&gt;&gt; компании найдется хотя бы один человек, который так будет заморачиваться с <br>&gt;&gt; целью получить внутренний номер организации <br>&gt; зачем человеку из компании получать внутр номер? у него че телефона нет? <br>&gt; или уборщица купила себе айпифон и хочет позвонить внучку фАмерику <br><br>Документы по информационной безопасности в компании пишу не я<br>