Главная » Форум » Gentoo Linux » Системное администрирование

Блокировка dhcp пакетов проходящих через сетевой мост

yujj 29 июня, 2009 - 23:19

Есть сеть с DHCP сервером. Требуется, чтобы часть сети получала ip адреса от другого DHCP сервера (точнее не просто адреса, а параметры BOOTP).
Так как с админом разговарить бесполезно - настолько ленив, что ни за что не станет трогать настройки своего сервера, то возникла идея сделать сетевой мост с фильтраций пакетов, вроде так можно, только вот нигде не нашёл как именно это сделать. man brctl и man iptables мне не помогли :(. Мост я сделал, а вот как сделать фильтрацию?

PS: необходимо, чтобы компьютеры в обеих "сетях" видели друг друга, будто они находятся в одной сети.

‹ содержание squirellmail/data ошибка при установки drbd ›
»

подумайте хорошенько!!!

Автор Theli, дата создания 30 июня, 2009 - 00:04.

1. dhcp-клиенты можно настроить на обращение к определенному dhcp-серверу (man dhclient)
2. dhcp-сервер принимает запросы от клиентов на 67-й порт UDP, соответственно надо на шлюзе фильтровать пакеты, адресованные на 67-й порт UDP приходящие на внутрисетевой интерфейс
3. ввобще правильно настраивать файерволл так: сначала запрещаем всё, потом разрешаем то, что нужно. Тактика наоборот, лишает файерволл всякого смысла.
4. скорее всего вам теперь еще придется поднимать свой DNS-сервер в содружестве с dhcp
о DHCP можно почитать тут...
о портах, которые используются различными серверами можно почитать тут

5. а оно вам точно надо?!

»

Почитал, но ответа не нашёл...

Автор yujj, дата создания 30 июня, 2009 - 00:51.

1. В венде не катит, к сожалению. И вообще, мне это в основном для BOOTP нужно, а его на определённый DHCP-сервер не настроишь никак.
2. То есть мне заблокировать порт на eth1 (смотрит в мою сеть)? А это точно будет работать в случае моста? (bridge_br0="eth0 eth1")
3. Не согласен. Всё зависит от конкретной ситуации.
4. Вовсе нет - предполагается, что компы из моей сети будут через мост работать с DNS "большого админа".
5. Точно надо - не надо было бы не писал. Можно, конечно, другие способы рассмотреть, но я что-то ничего проще придумать не могу.

»

могу ошибаться, но выглядеть

Автор Theli, дата создания 30 июня, 2009 - 22:59.

могу ошибаться, но выглядеть должно примерно так
iptables -A FORWARD -i eth1 -p udp --dport 67 -j DROP

перенаправление должно быть включено в ядре!
echo 1 > /proc/sys/net/ipv4/ip_forward

DNS нужно подымать в том случае, если он резолвит имена локальных машин, ведь когда DHCP выдает машине ip-адрес, он добавляет имя машины в DNS (это опционально и не обязательно). А если вам ip-адреса выдает свой DHCP, как он засунет имена этих машин в DNS "большого админа"??? ))) В общем тут варианты. Если dns "большого админа" - просто кеширующий dns, который резолвит адреса internet. то ничего делать не нада, а вот если нет, то в в любом случае большого админа придется побеспокоить настройкой его dns-сервера ;-)

почему вы так уверены, что ваши клиенты используют именно BOOTP протокол?

»

BRIDGE_EBT_IP = m , и резать

Автор slepnoga, дата создания 30 июня, 2009 - 23:38.

BRIDGE_EBT_IP = m , и резать бродкасты с proto = udp :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

+

Автор Daevy, дата создания 1 июля, 2009 - 08:57.

поддерживаю, включите опцию 

Networking support
   -> Networking options
         -> Network packet filtering framework (Netfilter)
	  -> Ethernet Bridge tables (ebtables) support

пересоберите ядро, и поставтье ebtables

http://ebtables.sourceforge.net/examples.html#easy

there is only war...

»

Получилось :)

Автор yujj, дата создания 7 июля, 2009 - 12:53.

Всё именно так. Фильтрация на мосту - это дело ebtables.

»

Завязывайте с компьютерами.

Автор wi, дата создания 1 июля, 2009 - 10:46.

Завязывайте с компьютерами. Вам необходимо научиться "работать с людьми". Чем городить огороды из никому не нужных девайсов, проще и правильней заставить людей сделать то ,что вам нужно. Для начала нужно таки поговорить с админом. Возможно не все так плохо. В случае неудачи обратиться к руководству. Если ваша деятельность приносит фирме реальную пользу, найдутся люди способные построить кого угодно.

Чисто теоретически вопрос вызывает интерес. На мой взгляд сделать это в одной физической сети нереально, ибо броадкаст. Не все клиенты умеют "выбирать" dhcp сервер (мне такие не попадались). Потому для многих - кто первый откликнулся, тот и прав. Значит сеть надо делить физически. Посреди ставить маршрутизатор. Плюс к тому, ленивому админу придется поправить настройки днс.

ЗЫ
Возможно админ не так и ленив. Дело в том, что в стандартном вендовом дхцп сервере нет возможности использовать более одного бутового образа. Если сервис загрузки уже задействован - отказ вполне логичен. Возможно существуют другие, более продвинутые dhcp серверы под венду, я таких особо не искал, ибо в моей в сети есть несколько линевых серверов и мы перевели dhcp туда. К счастью майкрософт не успел вкопать свой дхцп оочень глубоко, и на работу остальных вендослужб, активдиректори и прочего барахла это НИКАК не влияет.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".