Hi zusammen,

bin derzeit auf der Suche nach einer professionellen Lösung für mein folgendes Problem:

Ich möchte in einem LAN Traffic nur von IPs forwarden, die von meinem DHCP-Server vergeben wurden. Somit will ich alle IPs aussperren, die sich User fest ingestellt haben. Kennt jemand dafür fertige Lösungen ?

Z.z habe ich das folgendermaßen realisiert:
Per Script überwache ich meine dhcpd.leases. Neue Leases werden dann per iptables freigeschaltet, Leases die abgelaufen sind werden wieder gesperrt. Ausserdem überwache ich noch die zu den IPs gehörenden Mac-Addressen, bekommt der Server ein Paket von einer IP, die in einem gültigen Lease eingetragen ist, aber von einer anderen Mac kommt -> Paket wird gedroppt.
Diese Lösung gefällt mir allerdings nicht wirklich, da man Macs schnell und einfach fälschen kann. Das Risiko habe ich ein wenig heruntergefahren, indem ich die Max-Lease-Time runtergeschraubt habe, aber wirklich sicher ist das auch noch nicht.

Falls jemand eine Lösung kennt, nur her damit

Greetz UnuX

Spontan fällt mir nix fertiges ein. Du könntest den Bereich der erlaubten IP-Adressen auf die Anzahl der Clients einschränken, die sich per DHCP anmelden düfen.

Ich frage mich, was du genau erreichen willst. Eine Doppelvergabe von Adressen verhindern?

Hi,


Eine Doppelvergabe von Adressen verhindern?

Doppelvergabe der IPs wird nicht passieren, solange der DHCP-Server in seiner Range genügend freie IPs hat. DHCPD prüft bevor er eine IP vergibt, ob diese bereits benutzt wird.


Du könntest den Bereich der erlaubten IP-Adressen auf die Anzahl der Clients einschränken, die sich per DHCP anmelden düfen.

Bringt mir leider auch nichts, da nicht immer alle Clients gleichzeitig online sind. Auch Lösungen mit statischen IP Einträgen bringen mir nichts, da laufend neue Clients dazu kommen und andere nicht mehr teilnehmen.

Ich brauche das, da in dieser Serverumgebung diverse andere Dienste laufen, die alle genutzen IPs ontime benötigen. Genaueres würde den Rahmen hier sprengen.

Greetz UnuX

Ich brauche das, da in dieser Serverumgebung diverse andere Dienste laufen, die alle genutzen IPs ontime benötigen.
Ich versteh's nicht. Ich habe zwar keine Lösung, aber ich versteh's nicht ...

Ok, ich will mal ehrlich sein. Hauptgrund ist wohl, dass ich nicht will, dass Clients die Freiheit haben sich selbst eine IP zuzuteilen. Die genutzen IPs für die o.g. Dienste bekomme ich auch über andere Wege.

Sicherheitsbedenken waren zwar unnötig, aber generell wüsste ich schon gern ob es dafür schon fertige Lösunge gibt.

Greetz UnuX

Ok, ich will mal ehrlich sein. Hauptgrund ist wohl, dass ich nicht will, dass Clients die Freiheit haben sich selbst eine IP zuzuteilen.
Ich überlege, was das für einen Vorteil bringen könnte...

ip an die mac adresse binden und genau die anzahl an ips vergeben wie clients da sind.
du editierst dann zwar permanent die dhcpd.conf aber so sollte das klappen.

hey
ich sagmal das hört sich für mich nach
arpwatch-ng + dhcp-leases + script an :)

hast du ja sicher auch so ähnlich schon gebastelt ... mir ist da leider nichts bekannt was fertig ist habe ich auch schonmal nach gesucht.

um den mac fakern zuvorzukommen : hast du access auf den switch und is dieser gemanaged könnte man direkt dort die port von denen gefaked wird, sperren für die mac :)

baldus

Hi,



Ich überlege, was das für einen Vorteil bringen könnte...


Überlegen brauchste gar nicht, lesen reicht: http://www.dns-sd.org/. U.a. announciere ich interne Webseiten per dns-sd. Somit kommen User, die mit dns-sd fähigen Browsern z.b. Safari, Konqueror in den Genuss in ihren Bookmarks automatisch unsere internen Webseiten gelistet zu bekommen.


ip an die mac adresse binden und genau die anzahl an ips vergeben wie clients da sind.
du editierst dann zwar permanent die dhcpd.conf aber so sollte das klappen.

Das ist nicht wirklich eine Lösung für meine Problemstellung. Ich will ja alle Clients blocken, die sich KEINE IP per DHCP geholt haben. Davon abgesehen ist es imho eher suboptimal laufend automatisch den DHCP-Server zu reloaden.

Greetz UnuX

Hi,


arpwatch-ng + dhcp-leases + script an
hast du ja sicher auch so ähnlich schon gebastelt ... mir ist da leider nichts bekannt was fertig ist habe ich auch schonmal nach gesucht.

Siehe erster Post


um den mac fakern zuvorzukommen : hast du access auf den switch und is dieser gemanaged könnte man direkt dort die port von denen gefaked wird, sperren für die mac

Es handelt sich hierbei um ein großes WLAN. Daher habe ich nun kein Problem mehr mit dem Mac-Spoofing, da Clients, die ihre Mac ändern, sich neu am AP anmelden müssen, um mit ihm zu kommunizieren. War ein langer, anstrengender Tag gestern, hatte ich während des Scriptens wohl ein Brett vorm Kopf oder ich war mal wieder in den Tiefen eines Perl-Rausches :).

Greetz UnuX