Блокировка свободных IP на dhcp сервере

[kac]

Есть проблема, есть свободные ip в сети. Как их заблокировать?

[Speccyfighter]

На роутере фильтрация:
DHCP Enable
Start IP/End IP - 2-254
Диапазон адресов кастомно по количеству клиентов.

[kac]

использую не роутер!на счет диапазону адресов спасибо, но есть ли возможность блокировать с помощью iptables
 

[flint1975]

ЭЭЭ! А поясните свой вопрос пожалуйста?
Что значит свободные ip?
Может ограничить сеть с помощью маски!
если вы сможете сформулировать критерий отличия "свободных" от "несвободных"
тогда и можно говорить об iptables

[kac]

сделал сервак по DHCP.
он раздает адреса от 192.168.1.1- 192.168.168.2.254
маску задал другую.
позаписовал маки и определенному маку он надает ір.
с этого диапазона ip есть не занятые. их бы хотелось бы заблокировать.
думаю к сужению диапазона ip. но это не адекватно постоянно делать изменять диапазон ip.

[flint1975]

маску задал другую.

Что значит "другая" ? По сравнению с чем она другая?

с этого диапазона ip есть не занятые. их бы хотелось бы заблокировать.

с этого - это с какого? с того, который вы определили в dhcp сервере, или с того, который задается маской?
Незанятые - незарезервированные или невыданные на данный момент?

Насколько я понял вы хотите блокировать пакеты от адресов, которым не выдан в данный момент адрес - правильно я понял?

P.S. Очень тяжело читать то что вы пишете, представьте, что вы свою задачу объясняете совсем чайнику :)

[kac]

новая сеть
192.168.0.1-192.168.3.254
новая маска 255.255.252.0

Насколько я понял вы хотите блокировать пакеты от адресов, которым не выдан в данный момент адрес - правильно я понял?

ДА ;)

[flint1975]

Такую задачу я не решал, но мне представляется что нужно написать скрипт, который на основании данных DHCP будет создавать правила iptables, и запускать его по крону каждую минуту.
Правда это немного тупое решение, а написать правило iptables по критерию вхождения в список из файла dhcp я не нашел как. Возможно более опытные пользователи подскажут.
А это зачем? Может есть более простое решение.

[flint1975]

Можно создать новую таблицу, которую и изменять скриптом.
И скрипт можно запускать dhcp сервером, наподобие резолвинга имен.

[dubrsl]

сделал сервак по DHCP.
он раздает адреса от 192.168.1.1- 192.168.168.2.254
маску задал другую.
позаписовал маки и определенному маку он надает ір.
с этого диапазона ip есть не занятые. их бы хотелось бы заблокировать.
думаю к сужению диапазона ip. но это не адекватно постоянно делать изменять диапазон ip.

Ну т.е. привязку мак - IP вы задаете вручную.
Тогда что мешает сделать статическую арп таблицу?

Делаем файлик arp_list в таком виде:

Код: [Выделить]

192.168.1.2     00:13:49:bc:cb:94
192.168.1.3     00:1b:fc:34:35:1d
192.168.1.4     00:24:1d:d4:8c:aa
....
192.168.1.252   00:00:00:00:00:00
192.168.1.253   00:00:00:00:00:00
192.168.1.254   00:00:00:00:00:00
и скрипт который создает арп таблицу:

Код: [Выделить]

grep -v '^#' arp_list |
while read line
do
/sbin/arp -s $line || echo "error in $line"
done


[flint1975]

ну да, об этом я не подумал - так проще :)

[kac]

супер! завтра на работе попробую ;)

[rabochyIT]

Дополнительный вопрос по этой теме. Допустим у меня с 1 по 10 и 100-110 адрес в локальной сети статические IP оборудования. Как настроить DHCP сервер чтобы исключить эти адреса из раздачи "динамическим" клиентам? По моему в альтераторе по урезаны эти функции (исключения).

[vervadim]

Есть параметр deny unknown-clients; - не принимать неизвестных клиентов - но вот как заставить Alt его воспринимать незнаю.

[vervadim]

deny unknown-clients; прописал в ручную в конфиге. service dhcpd restart - Стартанул нормально. Нужно разработчиков просить - в алтераторе установить эту команду.