Hallo Leute. Der DHCP-Server meines Linux-Routers weist jedem Client eine IP zu. Ich kann auch feste IP's setzen. Nun möchte ich, dass sich der Client an die vorgegebene IP hält. Also nicht mittels statischer IP einfach eine andere nehmen und mit dieser surfen. Am besten wäre es, wenn MAC und IP nicht zusammen passen, dass die Verbindung zum Gateway dann direkt verworfen wird. Wäre cool wenn dafür jemand eine Lösung hätte.
IP/MAC-Binding
Anmeldungsdatum: Beiträge: 130 |
|
Anmeldungsdatum: Beiträge: 13896 |
Was genau meinst Du mit "Verbindung zum Gateway"? Evtl. können die Clients auch ohne Verbindung zum Gateway, surfen. Versuch mal mit iptables in der FORWARD chain des Linux-Routers. Z. B.: sudo iptables -I FORWARD 1 -s <1.-Client-int.-IP-Adresse> -m mac ! --mac-source <dazugehörige-MAC-Adresse-1.-Client> -j REJECT Um wie viele Clients geht es? EDIT: Alternativ könntest Du es auch mit arptables versuchen (... wenn der Kernel >/= 2.6.0, wegen der FORWARD chain in arptables): sudo arptables -I FORWARD 1 -s <1.-Client-int.-IP-Adresse> --source-mac ! <dazugehörige-MAC-Adresse-1.-Client> -j DROP arptables muss evtl. noch installiert werden: sudo apt-get install arptables |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Also wenn man mit einer falschen IP-Adresse zugreigt verweigert der Router (auch der Switch im Router) komplett den Datenverkehr und verwirft die Pakete. Um die 30-40 Clients. |
Anmeldungsdatum: Beiträge: 13896 |
Die tatsächlichen IP- und MAC-Adressen, müssen denen (d. h. der Kombination) in der iptables/arptables-Regel entsprechen. Wenn das nicht der Fall ist, wird geblockt. |
Anmeldungsdatum: Beiträge: 713 Wohnort: Im Inntal |
Hallo Ihr. lubux
Aber irgendein Dienst muss doch die IP-Addressen zuteilen zb. DNSMasq oder ähnliches. Grüße, |
Anmeldungsdatum: Beiträge: 13896 |
Nein, das ist nicht zwingend. Man kann es auch statisch per Konfiguration, z. B. mit der Datei "/etc/network/interfaces" bzw. auch mit "ifconfig" und/oder "ip" machen.
Auch wenn man die Zuteilung der IP-Adressen (... in Abhängigkeit von der MAC-Adresse) von einem Dienst (dnsmasq oder gleichwertig) machen lässt, kann man die iptables/arptables-Regeln zusätzlich benutzen (... wenn man will). |
Anmeldungsdatum: Beiträge: 713 Wohnort: Im Inntal |
Hallo lubux Ja natürlich kannst du das auch per /etc/network/interfaces, bzw ifconfig oder iproute machen, aber "leichter" bei größeren Netzwerken ist doch ein Dienst wie zB. Dnsmasq kombiniert mit einer MAC ACL über iptables, oder was meinst du. |
Anmeldungsdatum: Beiträge: 13896 |
OK, aber ich denke, das sollte der TE entscheiden, was er z. Zt. installiert und konfiguriert hat bzw. was er zukünftig haben will.
|
Anmeldungsdatum: Beiträge: 713 Wohnort: Im Inntal |
Stimm ich dir voll zu, aber gegen einen "Ratschlag" oder eine alternative Lösung spricht doch nichts ☺
root213123 Welchen DHCP-server nutzt denn dein Linux router? |