摩托學園討論區

由 **kevinblue** » 週四 8月 30, 2007 7:10 am

小弟由於公司內部環境，為了避免公司使用者私設IP
老闆希望就算使用者自行設定IP也無法上網，只有透過dhcpd取得ip者才可以連上網路。

不知道是否有無相關套件可以達到這個目標？

由 **企鵝狂** » 週四 8月 30, 2007 11:17 am

dhcp應該沒有這種功能
我覺得這比較像 802.1x?
http://www.cs.umd.edu/~mvanopst/8021x/howto/server.html

由 **路燈甲** » 週四 8月 30, 2007 11:19 am

從 dhcpd.leases 裡抓出有誰來 request 並取得 IP
然後對照它的 MAC 才放行.
大概沒有現成的管理工具吧 ?

由 **路燈甲** » 週四 8月 30, 2007 11:21 am

補充:
dhcpd.leases 裡就包括了 IP 及 MAC addr 可供查詢

由 **ronmi** » 週四 8月 30, 2007 1:01 pm

查了一下資料，似乎是沒有現成工具
也許你可以考慮用pppoe server？
ex：
pppoe的local ip設192.168.1.1，remote設192.168.2.1~254
nat只對192.168.1.1做masquarade

我手上沒有可以測試的環境，所以可不可行我也不知道(單一client的話我有試過可行，不過我想這個結果應該對你沒有什麼幫助XD)
也許這樣能解決你的問題？

由 **mason** » 週四 8月 30, 2007 2:45 pm

用 iptables 限定只有 dhcp 分配網段的 ip 不就好囉？
然後 dhcp server 那邊去限定 MAC

由 aa » 週四 8月 30, 2007 3:11 pm

他的問題並未描述清楚到底誰可以連上 Internet, 只說
由 DHCP server 取得 IP 才可以連上 Internet, 所以如
果僅由 iptables 限定允許連上 Internet 的哪些內部網
段恐怕還不行, 因為可能像說:

dhcpd 分配網段為 192.168.1.80 - 192.168.1.179
假設這100個 IP 裡從 192.168.1.80 到 192.168.1.169
90個 IP 有被 request 取得 IP, 所以剩下10個 IP 仍包
含在可以連上 Internet 的合法位址.

那麼任何人手動設定這10個 IP 之一就可以不必透過
DHCP server 取得,而可以上網了.

但如果由 dhcpd.conf 設定每個 MAC 對應一個 IP, 那這
跟每一台電腦設固定 IP 不就又一樣, 便失去使用 DHCP
server 的原意了.

所以還是請原 post者說明他到底要的是什麼？

由 **alex140000** » 週四 8月 30, 2007 3:45 pm

不要設 getway 用 proxy 設定上網限制是否會比較合適一點

由 **kevinblue** » 週四 8月 30, 2007 7:54 pm

aa 寫:他的問題並未描述清楚到底誰可以連上 Internet, 只說
由 DHCP server 取得 IP 才可以連上 Internet, 所以如
果僅由 iptables 限定允許連上 Internet 的哪些內部網
段恐怕還不行, 因為可能像說:

dhcpd 分配網段為 192.168.1.80 - 192.168.1.179
假設這100個 IP 裡從 192.168.1.80 到 192.168.1.169
90個 IP 有被 request 取得 IP, 所以剩下10個 IP 仍包
含在可以連上 Internet 的合法位址.

那麼任何人手動設定這10個 IP 之一就可以不必透過
DHCP server 取得,而可以上網了.

就像aa所說，由於我們公司網路只有單純使用switch串接而成
所以會有使用者私設IP的問題...

我目前有找到一個工具會自動從mysql select出來相關資料產生
dhcpd.conf
http://freshmeat.net/projects/mydhcpgen/

再改一下 source code 應該可以符合我想綁 mac address 的功能
今天有再想了一下，我想每隔30分鐘用 icmp 封包去收集現時上網的mac address 對比資料庫裡的中的mac address，只要不在資料庫裡的就送個arp封包讓他斷網...

aa 寫:但如果由 dhcpd.conf 設定每個 MAC 對應一個 IP, 那這
跟每一台電腦設固定 IP 不就又一樣, 便失去使用 DHCP
server 的原意了.

所以還是請原 post者說明他到底要的是什麼？

因為我們公司有300台電腦，但老闆希望每個人的IP固定
方便控管，所以才希望固定IP

會想利用dhcp是方便以後管理，否則每次更動都要派3~4個人
去負責手動更新IP是很累的...

由 **路燈甲** » 週五 8月 31, 2007 1:12 am

這樣是不是在 dhcpd.conf 直接寫死 IP <> MAC 更直接？

就是讓 dhcpd 會根據來 request IP 的 MAC 給一個固定 IP
然後你的 gateway 就限定只讓哪幾個 IP/MAC 可以 forward
出門, 這樣就達到管制目的了不是嗎？(也不必再用mydhcpgen)

host pc-1 {
　　hardware ethernet 00:0a:0b:0c:0d:0e;
　　fixed-address 192.168.1.80;
　　option routers 192.168.1.254; }

host pc-2 {
　　hardware ethernet 00:0a:0b:0c:02:03;
　　fixed-address 192.168.1.81;
　　option routers 192.168.1.254; }

這樣就會在 MAC 是 00:0a:0b:0c:0d:0e 的電腦來 request IP
時固定給它 192.168.1.80 而遇到 00:0a:0b:0c:02:03 會固定
給它 192.168.1.81

由 **kevinblue** » 週五 8月 31, 2007 6:00 am

路燈甲寫:這樣是不是在 dhcpd.conf 直接寫死 IP <> MAC 更直接？

就是讓 dhcpd 會根據來 request IP 的 MAC 給一個固定 IP
然後你的 gateway 就限定只讓哪幾個 IP/MAC 可以 forward
出門, 這樣就達到管制目的了不是嗎？(也不必再用mydhcpgen)

host pc-1 {
　　hardware ethernet 00:0a:0b:0c:0d:0e;
　　fixed-address 192.168.1.80;
　　option routers 192.168.1.254; }

host pc-2 {
　　hardware ethernet 00:0a:0b:0c:02:03;
　　fixed-address 192.168.1.81;
　　option routers 192.168.1.254; }

這樣就會在 MAC 是 00:0a:0b:0c:0d:0e 的電腦來 request IP
時固定給它 192.168.1.80 而遇到 00:0a:0b:0c:02:03 會固定
給它 192.168.1.81

重點是我們公司有300台電腦...手動輸入會死眼睛會花 XD
而且維護不易...

由脫線 » 週五 8月 31, 2007 2:10 pm

可以去參考DRBL的功能，裏面ip對應的功能，不用手動輸入，
是進入偵測模式，將所有內部網路上的mac編號抓回來，
然後輸入DHCP網段，程式自行對應，形成dhcpd.conf檔。

摩托學園討論區

linux是否有套件提供限定區網內使用者只能使用dhcp取得IP

linux是否有套件提供限定區網內使用者只能使用dhcp取得IP

誰在線上