homaua 0 Posted 2008-09-11 15:47:41 Share Posted 2008-09-11 15:47:41 Купили в ядро Длинк ДЕС 3828, пока начинаю осваивать. Каждый дом воткнут в отдельный порт свича, на шлюзе с натом работает ДХЦП сервер, задача - перестраховаться если в каком-то доме в какой-то отдельно взятой квартире кой нить умник роутер не тем отверстие воткнет и начнет раздавать адреса на свое усмотрение... чтобы его дхцп сервер мог работать только в его сегменте(все остальные свичи - пока мыльницы). В какую сторону смотреть.., что в 3828 и как настроить? ЗЫ не посылайте к РТФМ, либо посылайте в конкретный раздел Link to post Share on other sites
tihon 8 Posted 2008-09-12 06:56:40 Share Posted 2008-09-12 06:56:40 dhcp trust port какой-нить или DHCP snooping - смотря как в длинке называется.... Link to post Share on other sites
homaua 0 Posted 2008-09-12 07:23:30 Author Share Posted 2008-09-12 07:23:30 dhcp trust port какой-нить или DHCP snooping - смотря как в длинке называется.... в мане такого не нашел .. может в сторону DHCP relay.. но как я почитал - не совсем то.. или совсем не то) Link to post Share on other sites
goonman 7 Posted 2008-09-12 07:29:04 Share Posted 2008-09-12 07:29:04 Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере Link to post Share on other sites
homaua 0 Posted 2008-09-12 13:12:18 Author Share Posted 2008-09-12 13:12:18 Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере да..., но пока достучишься к юзверю остальные могут страдать) Link to post Share on other sites
tihon 8 Posted 2008-09-12 13:44:21 Share Posted 2008-09-12 13:44:21 спросите суппорт длинка. тут говорили, быстро помогут вы ж свич не ворованный купили. Link to post Share on other sites
muff 115 Posted 2008-09-13 19:01:54 Share Posted 2008-09-13 19:01:54 Дафай попробуем посмотреть в корень... DHCP работает на 67 и 68 порту. Соответственно создай на DES-3828 acl, который будет запрещать входящие udp-пакеты на 68 порт (запрет выдачи настроек). Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей. Должно работать. описание DHCP Link to post Share on other sites
DarkSpider 36 Posted 2008-09-13 22:44:50 Share Posted 2008-09-13 22:44:50 Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей. ммм .. подозреваю работать будет отлично , так как заблочит получение этих самых настроек с основного DHCP -) имхо тут надо на роутере поставить скрипт в крон, который будет проверять 67-68 порты и если просечет IP отличный от оригинального - выдаст txt-файл на рабочий стол админа. Запуск в кроне раз в час. Link to post Share on other sites
muff 115 Posted 2008-09-15 08:17:14 Share Posted 2008-09-15 08:17:14 Хей... Почитай ман про работу DHCP. По 67 порту бегают запросы DHCP, а по 68 - ответы. Соответственно запросы пусть бегают куда хотят, а ответы будем пропускать только от нашего сервера. Не забывай про то, что в acl еще необходимо указывать и направление, то есть пакет от клиента, или к клиенту. Я направление для раздумий дал - думай. Я указал рабочий вариант - когда-то так сам делал. Довести полностью до ума - тут уж извини, можно и самому немножко подумать и точно сконфигурировать правила. Link to post Share on other sites
assasinwar 7 Posted 2008-11-06 19:50:19 Share Posted 2008-11-06 19:50:19 Кстати, не совсем в тему, но моет кто тестил DHCP опцию 82 вместе со снупингом? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now