关于DHCP实现以下功能请牛人指教

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
头像
zjnx
帖子: 64
注册时间: 2006-04-03 11:27
送出感谢: 0
接收感谢: 0
联系:

关于DHCP实现以下功能请牛人指教

#1

帖子 zjnx » 2008-08-25 10:50

向大家请教一个问题,单位要实现一个这样的目的:
DHCP系统
公司内部的机器,通过MAC地址绑定实现IP地址分配。即使是虚拟服务器也采用MAC地址分配IP地址。通过防火墙的设置,容许某个IP字段的服务器做一些操作,而不容许非授权服务器进行一些操作。
对于来访客人的机器或者是通过WIFI上网的机器,分配的是另外的IP地址,不通过Proxy也可以上网。但是只能进行80端口的上网操作,而不容许任何其他端口的操作,有效保证公司内部系统的安全。


现在已经在路由器上具有DHCP功能了。分配的IP为192.168.1段。LINUX服务器上的DHCP服务已经关掉,请问我该如何实现上面所要求的功能呢
头像
oneleaf
论坛管理员
帖子: 10237
注册时间: 2005-03-27 0:06
系统: Ubuntu 12.04
送出感谢: 7 次
接收感谢: 107 次

#2

帖子 oneleaf » 2008-08-25 10:59

访问限制和dhcp无关,你直接在防火墙使用mac地址过滤即可。

DHCP,可以默认使用其它的IP地址分配,针对有mac等级的单独制定IP。

不过上面是繁琐的活。建议分不同的路由处理,例如客人的机器的接入给予单独的网线接入,包括WIFI也是。
头像
zjnx
帖子: 64
注册时间: 2006-04-03 11:27
送出感谢: 0
接收感谢: 0
联系:

#3

帖子 zjnx » 2008-08-25 11:27

请问具体是如何操作呢

您刚说的建议分不同的路由处理,例如客人的机器的接入给予单独的网线接入,包括WIFI也是。这句话我没有理解透意思
头像
oneleaf
论坛管理员
帖子: 10237
注册时间: 2005-03-27 0:06
系统: Ubuntu 12.04
送出感谢: 7 次
接收感谢: 107 次

#4

帖子 oneleaf » 2008-08-25 11:38

首先,客人来了,一般不会到你的工作场所去上网,一般在会议室,所以会议室的网线单独拉,当然工作场所也可以留几个作为客户专用的预留插线板,可以也不复杂。
wifi,将自己使用的wifi加密一下,如果更严谨一点,设置为不可见。
客户使用的,在别名上区分一下,不加密即可。

至于防火墙如何使用mac地址过滤,你搜索一下具体的防火墙软件,当然直接使用iptables也可以,都支持的,也不复杂。
头像
zjnx
帖子: 64
注册时间: 2006-04-03 11:27
送出感谢: 0
接收感谢: 0
联系:

#5

帖子 zjnx » 2008-08-25 11:47

恩谢谢oneleaf大哥的指教
因为现在公司内部网动态的分配IP范围是192.168.1.22到192.168.155之间
无线AP如果大家都登录到的话地址也是分配在这个区域内
现在公司要求是分配的IP不在这个范围内,比如说是从192.168.1.200开始。。
单位用的是draytek路由器,内置防火墙了。。LINUX的内置防火墙已经停掉了。。
头像
oneleaf
论坛管理员
帖子: 10237
注册时间: 2005-03-27 0:06
系统: Ubuntu 12.04
送出感谢: 7 次
接收感谢: 107 次

#6

帖子 oneleaf » 2008-08-26 10:42

如果路由器没有提供基于mac地址的过滤,就比较麻烦了,因为就算你使用dhcp服务分配了IP,但电脑可以手工设置IP的,基于IP地址的权限控制始终是不严谨的。
qnaanihc
帖子: 35
注册时间: 2008-04-29 12:43
送出感谢: 0
接收感谢: 0

#7

帖子 qnaanihc » 2008-08-29 14:44

基于MAC并不见得安全,只要进入内网,就能很容易的拿到合法的MAC,内网真的很弱,有没有其它的办法解决呢!!!
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

#8

帖子 冲浪板 » 2008-08-29 14:53

DHCP是可以按mac地址分配设计的ip嘀,和windows里的一样。
在/etc/dhcod.conf里有这个就是了

host you_pc{
hardware ethernet 00:11:22:33:44:55;
fixed-address your_IP;
}

btw:人家问啥就回答啥,别的不要讲,讲的话....btw:.....
头像
milujite
帖子: 644
注册时间: 2007-01-01 22:14
送出感谢: 0
接收感谢: 0
联系:

#9

帖子 milujite » 2008-08-30 23:42

iptables就包含了MAC的匹配了~可以帮楼主实现功能的~
ThinkPad SL400 DC
CPU:Intel® Core 2 Duo processor T5670
RAM:2x1GB,Dual
HARDDISK:Seagate 160G SATA
CD-ROM:COMBO
回复

回到 “服务器基础应用”