Перейти до

Блокирование Dhcp серверов


Рекомендованные сообщения

Купили в ядро Длинк ДЕС 3828, пока начинаю осваивать.

 

Каждый дом воткнут в отдельный порт свича, на шлюзе с натом работает ДХЦП сервер, задача - перестраховаться если в каком-то доме в какой-то отдельно взятой квартире кой нить умник роутер не тем отверстие воткнет и начнет раздавать адреса на свое усмотрение... чтобы его дхцп сервер мог работать только в его сегменте(все остальные свичи - пока мыльницы).

 

В какую сторону смотреть.., что в 3828 и как настроить?

 

ЗЫ не посылайте к РТФМ, либо посылайте в конкретный раздел :blink:

Ссылка на сообщение
Поделиться на других сайтах
dhcp trust port какой-нить или DHCP snooping - смотря как в длинке называется....

 

в мане такого не нашел :blink: .. может в сторону DHCP relay.. но как я почитал - не совсем то.. или совсем не то)

Ссылка на сообщение
Поделиться на других сайтах

Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере :blink:

Ссылка на сообщение
Поделиться на других сайтах
Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере :blink:

 

да..., но пока достучишься к юзверю остальные могут страдать)

Ссылка на сообщение
Поделиться на других сайтах

Дафай попробуем посмотреть в корень...

 

DHCP работает на 67 и 68 порту.

Соответственно создай на DES-3828 acl, который будет запрещать входящие udp-пакеты на 68 порт (запрет выдачи настроек).

Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей.

Должно работать.

 

 

описание DHCP

Ссылка на сообщение
Поделиться на других сайтах
Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей.

 

ммм .. подозреваю работать будет отлично , так как заблочит получение этих самых настроек с основного DHCP -)

 

имхо тут надо на роутере поставить скрипт в крон, который будет проверять 67-68 порты и если просечет IP отличный от оригинального - выдаст txt-файл на рабочий стол админа. Запуск в кроне раз в час.

Ссылка на сообщение
Поделиться на других сайтах

Хей... Почитай ман про работу DHCP.

 

По 67 порту бегают запросы DHCP, а по 68 - ответы. Соответственно запросы пусть бегают куда хотят, а ответы будем пропускать только от нашего сервера. Не забывай про то, что в acl еще необходимо указывать и направление, то есть пакет от клиента, или к клиенту.

 

Я направление для раздумий дал - думай. Я указал рабочий вариант - когда-то так сам делал. Довести полностью до ума - тут уж извини, можно и самому немножко подумать и точно сконфигурировать правила.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...