当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 9 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 关于DHCP实现以下功能请牛人指教
帖子发表于 : 2008-08-25 10:50 
头像

注册: 2006-04-03 11:27
帖子: 64
送出感谢: 0 次
接收感谢: 0 次
向大家请教一个问题,单位要实现一个这样的目的:
DHCP系统
公司内部的机器,通过MAC地址绑定实现IP地址分配。即使是虚拟服务器也采用MAC地址分配IP地址。通过防火墙的设置,容许某个IP字段的服务器做一些操作,而不容许非授权服务器进行一些操作。
对于来访客人的机器或者是通过WIFI上网的机器,分配的是另外的IP地址,不通过Proxy也可以上网。但是只能进行80端口的上网操作,而不容许任何其他端口的操作,有效保证公司内部系统的安全。


现在已经在路由器上具有DHCP功能了。分配的IP为192.168.1段。LINUX服务器上的DHCP服务已经关掉,请问我该如何实现上面所要求的功能呢


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-08-25 10:59 
论坛管理员

注册: 2005-03-27 0:06
帖子: 10116
系统: Ubuntu 12.04
送出感谢: 7
接收感谢: 128
访问限制和dhcp无关,你直接在防火墙使用mac地址过滤即可。

DHCP,可以默认使用其它的IP地址分配,针对有mac等级的单独制定IP。

不过上面是繁琐的活。建议分不同的路由处理,例如客人的机器的接入给予单独的网线接入,包括WIFI也是。


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:27 
头像

注册: 2006-04-03 11:27
帖子: 64
送出感谢: 0 次
接收感谢: 0 次
请问具体是如何操作呢

您刚说的建议分不同的路由处理,例如客人的机器的接入给予单独的网线接入,包括WIFI也是。这句话我没有理解透意思


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:38 
论坛管理员

注册: 2005-03-27 0:06
帖子: 10116
系统: Ubuntu 12.04
送出感谢: 7
接收感谢: 128
首先,客人来了,一般不会到你的工作场所去上网,一般在会议室,所以会议室的网线单独拉,当然工作场所也可以留几个作为客户专用的预留插线板,可以也不复杂。
wifi,将自己使用的wifi加密一下,如果更严谨一点,设置为不可见。
客户使用的,在别名上区分一下,不加密即可。

至于防火墙如何使用mac地址过滤,你搜索一下具体的防火墙软件,当然直接使用iptables也可以,都支持的,也不复杂。


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:47 
头像

注册: 2006-04-03 11:27
帖子: 64
送出感谢: 0 次
接收感谢: 0 次
恩谢谢oneleaf大哥的指教
因为现在公司内部网动态的分配IP范围是192.168.1.22到192.168.155之间
无线AP如果大家都登录到的话地址也是分配在这个区域内
现在公司要求是分配的IP不在这个范围内,比如说是从192.168.1.200开始。。
单位用的是draytek路由器,内置防火墙了。。LINUX的内置防火墙已经停掉了。。


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-08-26 10:42 
论坛管理员

注册: 2005-03-27 0:06
帖子: 10116
系统: Ubuntu 12.04
送出感谢: 7
接收感谢: 128
如果路由器没有提供基于mac地址的过滤,就比较麻烦了,因为就算你使用dhcp服务分配了IP,但电脑可以手工设置IP的,基于IP地址的权限控制始终是不严谨的。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-08-29 14:44 

注册: 2008-04-29 12:43
帖子: 35
送出感谢: 0 次
接收感谢: 0 次
基于MAC并不见得安全,只要进入内网,就能很容易的拿到合法的MAC,内网真的很弱,有没有其它的办法解决呢!!!


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-08-29 14:53 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
DHCP是可以按mac地址分配设计的ip嘀,和windows里的一样。
在/etc/dhcod.conf里有这个就是了

host you_pc{
hardware ethernet 00:11:22:33:44:55;
fixed-address your_IP;
}

btw:人家问啥就回答啥,别的不要讲,讲的话....btw:.....


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-08-30 23:42 
头像

注册: 2007-01-01 22:14
帖子: 644
送出感谢: 0 次
接收感谢: 0 次
iptables就包含了MAC的匹配了~可以帮楼主实现功能的~


_________________
ThinkPad SL400 DC
CPU:Intel® Core 2 Duo processor T5670
RAM:2x1GB,Dual
HARDDISK:Seagate 160G SATA
CD-ROM:COMBO


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 9 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译