homaua 0 Опубликовано: 2008-09-11 15:47:41 Share Опубликовано: 2008-09-11 15:47:41 Купили в ядро Длинк ДЕС 3828, пока начинаю осваивать. Каждый дом воткнут в отдельный порт свича, на шлюзе с натом работает ДХЦП сервер, задача - перестраховаться если в каком-то доме в какой-то отдельно взятой квартире кой нить умник роутер не тем отверстие воткнет и начнет раздавать адреса на свое усмотрение... чтобы его дхцп сервер мог работать только в его сегменте(все остальные свичи - пока мыльницы). В какую сторону смотреть.., что в 3828 и как настроить? ЗЫ не посылайте к РТФМ, либо посылайте в конкретный раздел Ссылка на сообщение Поделиться на других сайтах
tihon 8 Опубліковано: 2008-09-12 06:56:40 Share Опубліковано: 2008-09-12 06:56:40 dhcp trust port какой-нить или DHCP snooping - смотря как в длинке называется.... Ссылка на сообщение Поделиться на других сайтах
homaua 0 Опубліковано: 2008-09-12 07:23:30 Автор Share Опубліковано: 2008-09-12 07:23:30 dhcp trust port какой-нить или DHCP snooping - смотря как в длинке называется.... в мане такого не нашел .. может в сторону DHCP relay.. но как я почитал - не совсем то.. или совсем не то) Ссылка на сообщение Поделиться на других сайтах
goonman 7 Опубліковано: 2008-09-12 07:29:04 Share Опубліковано: 2008-09-12 07:29:04 Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере Ссылка на сообщение Поделиться на других сайтах
homaua 0 Опубліковано: 2008-09-12 13:12:18 Автор Share Опубліковано: 2008-09-12 13:12:18 Самы простой вариант, это просто забанить mac адрес роутера на порту свича. Тем самым будет флудить только в своем сегменте. Какраз и объясните в какие дырки нужно тыкать кабель в роутере да..., но пока достучишься к юзверю остальные могут страдать) Ссылка на сообщение Поделиться на других сайтах
tihon 8 Опубліковано: 2008-09-12 13:44:21 Share Опубліковано: 2008-09-12 13:44:21 спросите суппорт длинка. тут говорили, быстро помогут вы ж свич не ворованный купили. Ссылка на сообщение Поделиться на других сайтах
muff 115 Опубліковано: 2008-09-13 19:01:54 Share Опубліковано: 2008-09-13 19:01:54 Дафай попробуем посмотреть в корень... DHCP работает на 67 и 68 порту. Соответственно создай на DES-3828 acl, который будет запрещать входящие udp-пакеты на 68 порт (запрет выдачи настроек). Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей. Должно работать. описание DHCP Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-13 22:44:50 Share Опубліковано: 2008-09-13 22:44:50 Дальше примени этот acl на интерфейсы, которые смотрят в сторону пользователей. ммм .. подозреваю работать будет отлично , так как заблочит получение этих самых настроек с основного DHCP -) имхо тут надо на роутере поставить скрипт в крон, который будет проверять 67-68 порты и если просечет IP отличный от оригинального - выдаст txt-файл на рабочий стол админа. Запуск в кроне раз в час. Ссылка на сообщение Поделиться на других сайтах
muff 115 Опубліковано: 2008-09-15 08:17:14 Share Опубліковано: 2008-09-15 08:17:14 Хей... Почитай ман про работу DHCP. По 67 порту бегают запросы DHCP, а по 68 - ответы. Соответственно запросы пусть бегают куда хотят, а ответы будем пропускать только от нашего сервера. Не забывай про то, что в acl еще необходимо указывать и направление, то есть пакет от клиента, или к клиенту. Я направление для раздумий дал - думай. Я указал рабочий вариант - когда-то так сам делал. Довести полностью до ума - тут уж извини, можно и самому немножко подумать и точно сконфигурировать правила. Ссылка на сообщение Поделиться на других сайтах
assasinwar 7 Опубліковано: 2008-11-06 19:50:19 Share Опубліковано: 2008-11-06 19:50:19 Кстати, не совсем в тему, но моет кто тестил DHCP опцию 82 вместе со снупингом? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас