Comment puis-je filterr MAC avec le server DHCP?

Je souhaite seulement autoriser certaines adresses MAC à get une adresse IP de mon server DHCP, j'utilise actuellement dnsmasq et je préfère ne pas modifier le server dhcp, mais je suis également ouvert à d'autres logiciels. Cependant, je dois pouvoir configurer des adresses IP statiques pour des adresses MAC spécifiques.

actuellement, mon file conf en dnsmasq contient plusieurs inputs qui spécifient des IP statiques pour une gamme d'adresses MAC comme suit:

dhcp-host=00:11:22:33:44:55,192.168.1.100 dhcp-host=00:11:22:33:44:56,192.168.1.101 dhcp-host=00:11:22:33:44:57,192.168.1.102 

Existe-t-il un moyen pour que toutes les adresses MAC qui ne soient pas spécifiées dans la manière ci-dessus ne reçoivent pas une IP?

5 Solutions collect form web for “Comment puis-je filterr MAC avec le server DHCP?”

Vous pouvez le faire en spécifiant uniquement une plage statique

dhcp-range = 192.168.0.0, statique

EDIT: modifiez la gamme d'adresses ci-dessus pour répondre à vos besoins.

Sans plages dynamics spécifiées, dnsmask ne fournira que des adresses aux hôtes qui ont une configuration dhcp hôte correspondante

 # Specify a subnet which can't be used for dynamic address allocation, # is available for hosts with matching --dhcp-host lines. Note that # dhcp-host declarations will be ignored unless there is a dhcp-range # of some type for the subnet in question. # In this case the netmask is implied (it comes from the network # configuration on the machine running dnsmasq) it is possible to give # an explicit netmask instead. #dhcp-range=192.168.0.0,static 

Alternativement à la solution @ Chopper3, vous pouvez append des règles iptables comme celles-ci

 # Create the DHCP_clients chain in the 'raw' table iptables -t raw -N DHCP_clients # Incoming DHCP, pass to chain processing DHCP iptables -t raw -A PREROUTING -p udp --dport 67 -j DHCP_clients # Allowed DHCP clients iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:56 -j ACCEPT iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:57 -j ACCEPT # Deny other clients not listd above iptables -t raw -A DHCP_clients -j DROP 

Modifier: Si vous devez append d'autres clients «connus» / autorisés, procédez comme suit pour chaque client supplémentaire:

 # We insert a rule at the head of the chain using the '-I' command iptables -t raw -I DHCP_clients -m mac --mac-source $CLIENT_MAC -j ACCEPT 

(Remarque: il utilise -I (insert) au lieu de -A (append), donc la nouvelle règle sera la première règle à vérifier. Si nous n'insérons pas, les règles ajoutées seront remplacées par la règle avec -j DROP )

 # Ignore any clients which are not specified in dhcp-host lines # or /etc/ethers. Equivalent to ISC "deny unknown-clients". # This relies on the special "known" tag which is set when # a host is matched. #dhcp-ignore=tag:!known 

Si vous ne souhaitez que des MAC spécifiques pour get des adresses DHCP, créez simplement votre list de réservations, puisqu'elles définissent la plage pour couvrir uniquement les adresses IP. De cette façon, il n'y aura plus d'adresses à dissortingbuer.

Je dois être en désaccord avec les correctifs précédents. à l'exception de la réponse de Pepoluan.

Même si je ne sais pas si pepoluan's est une vraie technique de list blanche, il est proche de la bonne réponse. Pour bloquer toutes datatables sur le mauvais mac est votre objective. La simple désactivation de dhcp sur des Mac non enregistrés n'est pas une solution, si elles définissent des IP manuels qui sont habituellement l'une des 3 plages … 10.0.0.x, 192.168.1.x ou 192.168.0.x ne répondent pas au problème.

Si vous utilisez l'autre réponse proposée pour ne pas dissortingbuer dhcp à des Mac inconnus, assurez-vous de modifier également l'adresse de votre routeur à une option unique et non déconseillante, et de changer votre plage d'IP à une option vraiment étrange. par exemple 192.168.43.x avec le routeur 192.168.43.43 ou quelque chose. Cela les dissuaderait de deviner votre gamme de sous-réseaux et de ne pas avoir de lien avec le réseau.

Ce n'est pas impeccable, mais c'est une façon bien meilleure de protéger votre réseau.

  • Existe-t-il un outil comme 'route' dans Linux pour configurer l'input de renvoi (adresse dst MAC -> interface)
  • Commutateur Cisco: l'adresse MAC du port tronqué disparaît de la table d'adresses MAC
  • Linux - Existe-t-il un moyen de déterminer de quelle interface Mac a été détecté le trafic?
  • Interfaces virtuelles avec différentes adresses MAC
  • comment répondre à qui a demandé arp
  • Utilisation de Ipset et Iptables pour le filtrage d'adresses MAC
  • NIC Teaming avec Broadcom sur HyperV 2008 R2
  • list les adresses mac connues sur Dell PowerConnect 5324
  • Collisions d'adresse MAC Hyper-V
  • Questions de débutant sur MAC et failover de haute disponibilité
  • À propos de la table MAC sur les commutateurs?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.