linux是否有套件提供限定區網內使用者只能使用dhcp取得IP

這個版面主要討論 debian 在 server 端的應用問題, server 種類繁多..舉凡 Web Server 、 File Server、 DHCP Server..等等。

版主: 阿信

linux是否有套件提供限定區網內使用者只能使用dhcp取得IP

文章kevinblue » 週四 8月 30, 2007 7:10 am

小弟由於公司內部環境,為了避免公司使用者私設IP
老闆希望就算使用者自行設定IP也無法上網,只有透過dhcpd取得ip者才可以連上網路。

不知道是否有無相關套件可以達到這個目標?
kevinblue
可愛的小學生
可愛的小學生
 
文章: 5
註冊時間: 週四 2月 24, 2005 2:09 am
來自: 台北

文章企鵝狂 » 週四 8月 30, 2007 11:17 am

dhcp應該沒有這種功能
我覺得這比較像 802.1x?
http://www.cs.umd.edu/~mvanopst/8021x/howto/server.html
http://news.bbc.co.uk/1/hi/world/asia-pacific/country_profiles/1285915.stm


Country profile: Taiwan
Map of Taiwan
Taiwan is the island which has for all practical purposes been independent for half a century, but which China regards as a rebel region that must be reunited with the mainland - by force if necessary.
企鵝狂
活潑的高中生
活潑的高中生
 
文章: 477
註冊時間: 週三 3月 31, 2004 11:13 am
來自: 台灣共和國

文章路燈甲 » 週四 8月 30, 2007 11:19 am

從 dhcpd.leases 裡抓出有誰來 request 並取得 IP
然後對照它的 MAC 才放行.
大概沒有現成的管理工具吧 ?
路燈甲
 

文章路燈甲 » 週四 8月 30, 2007 11:21 am

補充:
dhcpd.leases 裡就包括了 IP 及 MAC addr 可供查詢
路燈甲
 

文章ronmi » 週四 8月 30, 2007 1:01 pm

查了一下資料,似乎是沒有現成工具
也許你可以考慮用pppoe server?
ex:
pppoe的local ip設192.168.1.1,remote設192.168.2.1~254
nat只對192.168.1.1做masquarade

我手上沒有可以測試的環境,所以可不可行我也不知道(單一client的話我有試過可行,不過我想這個結果應該對你沒有什麼幫助XD)
也許這樣能解決你的問題?
ronmi
懵懂的國中生
懵懂的國中生
 
文章: 103
註冊時間: 週一 12月 05, 2005 2:31 am
來自: Taiwan

文章mason » 週四 8月 30, 2007 2:45 pm

用 iptables 限定只有 dhcp 分配網段的 ip 不就好囉?
然後 dhcp server 那邊去限定 MAC
skype:dantemason
http://blog.sikazozo.org
頭像
mason
快樂的大學生
快樂的大學生
 
文章: 547
註冊時間: 週二 9月 10, 2002 3:40 pm
來自: SIDE 3

文章aa » 週四 8月 30, 2007 3:11 pm

他的問題並未描述清楚到底誰可以連上 Internet, 只說
由 DHCP server 取得 IP 才可以連上 Internet, 所以如
果僅由 iptables 限定允許連上 Internet 的哪些內部網
段恐怕還不行, 因為可能像說:

dhcpd 分配網段為 192.168.1.80 - 192.168.1.179
假設這100個 IP 裡從 192.168.1.80 到 192.168.1.169
90個 IP 有被 request 取得 IP, 所以剩下10個 IP 仍包
含在可以連上 Internet 的合法位址.

那麼任何人手動設定這10個 IP 之一就可以不必透過
DHCP server 取得,而可以上網了.

但如果由 dhcpd.conf 設定每個 MAC 對應一個 IP, 那這
跟每一台電腦設固定 IP 不就又一樣, 便失去使用 DHCP
server 的原意了.

所以還是請原 post者說明他到底要的是什麼?
aa
 

文章alex140000 » 週四 8月 30, 2007 3:45 pm

不要設 getway 用 proxy 設定上網限制是否會比較合適一點
alex140000
可愛的小學生
可愛的小學生
 
文章: 45
註冊時間: 週一 4月 12, 2004 11:58 am

文章kevinblue » 週四 8月 30, 2007 7:54 pm

aa 寫:他的問題並未描述清楚到底誰可以連上 Internet, 只說
由 DHCP server 取得 IP 才可以連上 Internet, 所以如
果僅由 iptables 限定允許連上 Internet 的哪些內部網
段恐怕還不行, 因為可能像說:

dhcpd 分配網段為 192.168.1.80 - 192.168.1.179
假設這100個 IP 裡從 192.168.1.80 到 192.168.1.169
90個 IP 有被 request 取得 IP, 所以剩下10個 IP 仍包
含在可以連上 Internet 的合法位址.

那麼任何人手動設定這10個 IP 之一就可以不必透過
DHCP server 取得,而可以上網了.


就像aa所說,由於我們公司網路只有單純使用switch串接而成
所以會有使用者私設IP的問題...

我目前有找到一個工具會自動從mysql select出來相關資料產生
dhcpd.conf
http://freshmeat.net/projects/mydhcpgen/

再改一下 source code 應該可以符合我想綁 mac address 的功能
今天有再想了一下,我想每隔30分鐘用 icmp 封包去收集現時上網的mac address 對比資料庫裡的中的mac address,只要不在資料庫裡的就送個arp封包讓他斷網...

aa 寫:但如果由 dhcpd.conf 設定每個 MAC 對應一個 IP, 那這
跟每一台電腦設固定 IP 不就又一樣, 便失去使用 DHCP
server 的原意了.

所以還是請原 post者說明他到底要的是什麼?

因為我們公司有300台電腦,但老闆希望每個人的IP固定
方便控管,所以才希望固定IP

會想利用dhcp是方便以後管理,否則每次更動都要派3~4個人
去負責手動更新IP是很累的...
最後由 kevinblue 於 週五 8月 31, 2007 6:07 am 編輯,總共編輯了 1 次。
kevinblue
可愛的小學生
可愛的小學生
 
文章: 5
註冊時間: 週四 2月 24, 2005 2:09 am
來自: 台北

文章路燈甲 » 週五 8月 31, 2007 1:12 am

這樣是不是在 dhcpd.conf 直接寫死 IP <> MAC 更直接?

就是讓 dhcpd 會根據來 request IP 的 MAC 給一個固定 IP
然後你的 gateway 就限定只讓哪幾個 IP/MAC 可以 forward
出門, 這樣就達到管制目的了不是嗎?(也不必再用mydhcpgen)

host pc-1 {
  hardware ethernet 00:0a:0b:0c:0d:0e;
  fixed-address 192.168.1.80;
  option routers 192.168.1.254; }

host pc-2 {
  hardware ethernet 00:0a:0b:0c:02:03;
  fixed-address 192.168.1.81;
  option routers 192.168.1.254; }

這樣就會在 MAC 是 00:0a:0b:0c:0d:0e 的電腦來 request IP
時固定給它 192.168.1.80 而遇到 00:0a:0b:0c:02:03 會固定
給它 192.168.1.81
路燈甲
 

文章kevinblue » 週五 8月 31, 2007 6:00 am

路燈甲 寫:這樣是不是在 dhcpd.conf 直接寫死 IP <> MAC 更直接?

就是讓 dhcpd 會根據來 request IP 的 MAC 給一個固定 IP
然後你的 gateway 就限定只讓哪幾個 IP/MAC 可以 forward
出門, 這樣就達到管制目的了不是嗎?(也不必再用mydhcpgen)

host pc-1 {
  hardware ethernet 00:0a:0b:0c:0d:0e;
  fixed-address 192.168.1.80;
  option routers 192.168.1.254; }

host pc-2 {
  hardware ethernet 00:0a:0b:0c:02:03;
  fixed-address 192.168.1.81;
  option routers 192.168.1.254; }

這樣就會在 MAC 是 00:0a:0b:0c:0d:0e 的電腦來 request IP
時固定給它 192.168.1.80 而遇到 00:0a:0b:0c:02:03 會固定
給它 192.168.1.81

重點是我們公司有300台電腦...手動輸入會死眼睛會花 XD
而且維護不易...
kevinblue
可愛的小學生
可愛的小學生
 
文章: 5
註冊時間: 週四 2月 24, 2005 2:09 am
來自: 台北

文章脫線 » 週五 8月 31, 2007 2:10 pm

可以去參考DRBL的功能,裏面ip對應的功能,不用手動輸入,
是進入偵測模式,將所有內部網路上的mac編號抓回來,
然後輸入DHCP網段,程式自行對應,形成dhcpd.conf檔。
脫線
活潑的高中生
活潑的高中生
 
文章: 251
註冊時間: 週一 12月 08, 2003 10:52 am


回到 debian server

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客