Comment puis-je filterr MAC avec le server DHCP?

Je souhaite seulement autoriser certaines adresses MAC à get une adresse IP de mon server DHCP, j'utilise actuellement dnsmasq et je préfère ne pas modifier le server dhcp, mais je suis également ouvert à d'autres logiciels. Cependant, je dois pouvoir configurer des adresses IP statiques pour des adresses MAC spécifiques.

actuellement, mon file conf en dnsmasq contient plusieurs inputs qui spécifient des IP statiques pour une gamme d'adresses MAC comme suit:

dhcp-host=00:11:22:33:44:55,192.168.1.100 dhcp-host=00:11:22:33:44:56,192.168.1.101 dhcp-host=00:11:22:33:44:57,192.168.1.102 

Existe-t-il un moyen pour que toutes les adresses MAC qui ne soient pas spécifiées dans la manière ci-dessus ne reçoivent pas une IP?

5 Solutions collect form web for “Comment puis-je filterr MAC avec le server DHCP?”

Vous pouvez le faire en spécifiant uniquement une plage statique

dhcp-range = 192.168.0.0, statique

EDIT: modifiez la gamme d'adresses ci-dessus pour répondre à vos besoins.

Sans plages dynamics spécifiées, dnsmask ne fournira que des adresses aux hôtes qui ont une configuration dhcp hôte correspondante

 # Specify a subnet which can't be used for dynamic address allocation, # is available for hosts with matching --dhcp-host lines. Note that # dhcp-host declarations will be ignored unless there is a dhcp-range # of some type for the subnet in question. # In this case the netmask is implied (it comes from the network # configuration on the machine running dnsmasq) it is possible to give # an explicit netmask instead. #dhcp-range=192.168.0.0,static 

Alternativement à la solution @ Chopper3, vous pouvez append des règles iptables comme celles-ci

 # Create the DHCP_clients chain in the 'raw' table iptables -t raw -N DHCP_clients # Incoming DHCP, pass to chain processing DHCP iptables -t raw -A PREROUTING -p udp --dport 67 -j DHCP_clients # Allowed DHCP clients iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:56 -j ACCEPT iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:57 -j ACCEPT # Deny other clients not listd above iptables -t raw -A DHCP_clients -j DROP 

Modifier: Si vous devez append d'autres clients «connus» / autorisés, procédez comme suit pour chaque client supplémentaire:

 # We insert a rule at the head of the chain using the '-I' command iptables -t raw -I DHCP_clients -m mac --mac-source $CLIENT_MAC -j ACCEPT 

(Remarque: il utilise -I (insert) au lieu de -A (append), donc la nouvelle règle sera la première règle à vérifier. Si nous n'insérons pas, les règles ajoutées seront remplacées par la règle avec -j DROP )

 # Ignore any clients which are not specified in dhcp-host lines # or /etc/ethers. Equivalent to ISC "deny unknown-clients". # This relies on the special "known" tag which is set when # a host is matched. #dhcp-ignore=tag:!known 

Si vous ne souhaitez que des MAC spécifiques pour get des adresses DHCP, créez simplement votre list de réservations, puisqu'elles définissent la plage pour couvrir uniquement les adresses IP. De cette façon, il n'y aura plus d'adresses à dissortingbuer.

Je dois être en désaccord avec les correctifs précédents. à l'exception de la réponse de Pepoluan.

Même si je ne sais pas si pepoluan's est une vraie technique de list blanche, il est proche de la bonne réponse. Pour bloquer toutes datatables sur le mauvais mac est votre objective. La simple désactivation de dhcp sur des Mac non enregistrés n'est pas une solution, si elles définissent des IP manuels qui sont habituellement l'une des 3 plages … 10.0.0.x, 192.168.1.x ou 192.168.0.x ne répondent pas au problème.

Si vous utilisez l'autre réponse proposée pour ne pas dissortingbuer dhcp à des Mac inconnus, assurez-vous de modifier également l'adresse de votre routeur à une option unique et non déconseillante, et de changer votre plage d'IP à une option vraiment étrange. par exemple 192.168.43.x avec le routeur 192.168.43.43 ou quelque chose. Cela les dissuaderait de deviner votre gamme de sous-réseaux et de ne pas avoir de lien avec le réseau.

Ce n'est pas impeccable, mais c'est une façon bien meilleure de protéger votre réseau.

  • Permettre à un périphérique bloqué par la security du port
  • Existe-t-il un moyen d'interroger toutes les adresses mac dans un réseau?
  • Ubuntu Linux - deux interfaces, un même sous-réseau, différents problèmes vlan - MAC / ARP
  • Existe-t-il un outil comme 'route' dans Linux pour configurer l'input de renvoi (adresse dst MAC -> interface)
  • nmap et arp-scan incompatibles résultats IP-MAC
  • mauvais commutateurs en double mon ip
  • Que fait le mode promenade ifconfig ou le mode promiscuous en général?
  • ISC-DHCP peut-il se lier à l'option 82 plutôt qu'aux adresses Mac?
  • Tout protocole standard pour find les adresses MAC de tous les systèmes et le nom d'hôte possible connecté à un commutateur
  • Qu'est-ce qui entraînerait un server Windows 2008 à changer les MAC de destination au milieu d'une session TCP?
  • Comment puis-je modifier l'adresse MAC d'un pont réseau dans Windows?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.