Избирательный DNS и DHCP. Как настроить?

[Rezedent12]

Я хочу сделать так:
один DNS на виртуалке, другой просто в ОС.
И что бы dhcpd раздавал определённым mac однин адрес DNS, а другим другой.
Или же от определённых mac просто перенаправлять запросы.

Выглядеть будет так:
Находит Вася Пупкин публичную сеть и просто в ней шарится, а его компьютер даже не пытается стучаться через NAT в интернет (да и не сможет по причине фильтрации на роутере), на мой сосед Павел заходит со своего ведроида и сразу получает нужные настройки.

Подскажите, можно ли так сделать? И как?

С меня подробное описание результата.

[ruslandh]

Ну, то, что dhcp может раздать адрес DNS по мак-адресу, вроде с этим проблемы не должно быть (правда не углублялся).

[greyzy]

узнать мак-адрес васи пупкина, сказать серверу dhcp, чтобы этому маку назначал всегда один и тот же адрес и роутеру сказать чтобы этот айпишник в инет не пускал

[Rezedent12]

Вы не поняли. Нужно что бы Вася даже не догадался о том что в сети кто то раздаёт интернеты, то есть dhcp ему выдало только IP, а про шлюзы ничего не сказало.
В тоже время Пашку, что бы на его андроид, dhcp дал все параметры (адрес, шлюз, DNS).

[greyzy]

#

Код: [Выделить]

cat >>/etc/net/ifaces/eth2/options
BOOTPROTO=dhcp
DISABLED=no
DHCP_ARGS="-R -G"
Запись

Код: [Выделить]

DHCP_ARGS="-R -G"говорит о том, что мы не будем от них получать адрес шлюза (G) и DNS (R) а только айпи)

ну то есть добавьте васе на комп запись DHCP_ARGS="-R -G" и будет он только ip-адрес получать

[ruslandh]

Вы не поняли. Нужно что бы Вася даже не догадался о том что в сети кто то раздаёт интернеты, то есть dhcp ему выдало только IP, а про шлюзы ничего не сказало.
В тоже время Пашку, что бы на его андроид, dhcp дал все параметры (адрес, шлюз, DNS).

Ну и не присылайте ему dhcp и dns, а присылайте только тому, кому это нужно.

[Rezedent12]

ну то есть добавьте васе на комп запись DHCP_ARGS="-R -G" и будет он только ip-адрес получать

Вася, это тот кто мимо с ноутом проходил.

[greyzy]

Вася, это тот кто мимо с ноутом проходил.

Ну по-моему это фантастика, чтобы dhcp сервер давал Васе только ip и маску, а Пашкиному андроиду все настройки, единственное - очень внимательно перечитать man dhcpd.conf, может и есть там такая фича. Гораздо проще в dhcp забить соответствие "своих (Пашки и Ko)" маков и айпи, и только их в инет пускать, а остальным указать шлюзу ийти лесом.
Хотя хз, может в dhcpd.conf это конфигурируется какой нить одной командочкой, но соответствие маков и айпи все равно надо делать, ведь если Вася получит Пашкин ip-адрес, он получит все настройки.
Короче без разницы - либо на dhcp-сервере левым не давать полные настройки, либо на шлюзе разрешить ходить только своим.

[speccyfan]

ИМХО все можно, попробуйте вот:

Код: [Выделить]

#сначала настройки для всех включая Васю.
ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {
        option subnet-mask              255.255.255.0;
        range dynamic-bootp 192.168.0.100 192.168.0.200;
        default-lease-time 21600;
        max-lease-time 43200;
}
#дальше настройки псевдостатики для необходимых маков, вот например:

host debian2.domain {
        hardware ethernet 08:00:27:17:b1:7e;
        fixed-address 192.168.0.201;
        option routers 192.168.0.26;
        option domain-name-servers      192.168.0.26, 82.209.200.16;
}

Но на роутере в любом случае стоит настроить фильр, вдруг вася додумается сам вбить себе шлюз?

[Rezedent12]

Но на роутере в любом случае стоит настроить фильр, вдруг вася додумается сам вбить себе шлюз?

Большое спасибо, буду пробовать :)
Фильтрация на шлюзе будет обязательно.

Вот описание проекта
http://forum.altlinux.org/index.php/topic,9759.0.html

Кстати вопрос.
Как правильно использовать диапазон маску 10.0.0.0 ?

[greyzy]

Но на роутере в любом случае стоит настроить фильр, вдруг вася додумается сам вбить себе шлюз?

Большое спасибо, буду пробовать :)
Фильтрация на шлюзе будет обязательно.

Ну и в чем смысл? Если такой конфиг работает, это конечно прикольно, но работа двойная, гораздо эффективнее просто настроить фильтр - чужим нельзя в инет, своим - по привязке мака и айпи - можно

[greyzy]

ИМХО все можно, попробуйте вот:

Код: [Выделить]

#сначала настройки для всех включая Васю.
ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {
        option subnet-mask              255.255.255.0;
        range dynamic-bootp 192.168.0.100 192.168.0.200;
        default-lease-time 21600;
        max-lease-time 43200;
}
#дальше настройки псевдостатики для необходимых маков, вот например:

host debian2.domain {
        hardware ethernet 08:00:27:17:b1:7e;
        fixed-address 192.168.0.201;
        option routers 192.168.0.26;
        option domain-name-servers      192.168.0.26, 82.209.200.16;
}

Но на роутере в любом случае стоит настроить фильр, вдруг вася додумается сам вбить себе шлюз?

И сюда в сеть для всех Вась надо видимо еще днс добавить, у вас же там в первом посте вроде два разных днса было типа

Код: [Выделить]

#сначала настройки для всех включая Васю.
ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {
        option subnet-mask              255.255.255.0;
        range dynamic-bootp 192.168.0.100 192.168.0.200;
        option domain-name-servers      82.209.205.16;
        default-lease-time 21600;
        max-lease-time 43200;

[Rezedent12]

Ну и в чем смысл? Если такой конфиг работает, это конечно прикольно, но работа двойная, гораздо эффективнее просто настроить фильтр - чужим нельзя в инет, своим - по привязке мака и айпи - можно

Вася хочет выйти на яндекс, а браузер вместо того что бы сразу сказать что узел не доступен. Начинает ожидать от него ответа. Тогда Вася сможет додуматься что в сети есть интернеты для своих.

И сюда в сеть для всех Вась надо видимо еще днс добавить, у вас же там в первом посте вроде два разных днса было типа

Так и собирался.

Только вопросик про виртуалки. У компа один IP, как сделать так чтобы 2 DNS сервера могли с него работать?

[greyzy]

Ну и в чем смысл? Если такой конфиг работает, это конечно прикольно, но работа двойная, гораздо эффективнее просто настроить фильтр - чужим нельзя в инет, своим - по привязке мака и айпи - можно

Вася хочет выйти на яндекс, а браузер вместо того что бы сразу сказать что узел не доступен. Начинает ожидать от него ответа. Тогда Вася сможет додуматься что в сети есть интернеты для своих.

И сюда в сеть для всех Вась надо видимо еще днс добавить, у вас же там в первом посте вроде два разных днса было типа

Так и собирался.

Только вопросик про виртуалки. У компа один IP, как сделать так чтобы 2 DNS сервера могли с него работать?

Мимо васи пройдет Паша с андроидом и увидит Вася, что тот в инете, что с того, что он будет знать, что есть шлюз? Попросит и себе инет? Ну вы ему и скажете, ты не наш, иди отсюда, и Вася уйдет в другую сеть, где нет деления на белых и негров и с инетом получше  :D

Эт в ветке про сервера спрашивайте, кого нибудь типа Salomatin, он на этих виртуалках много собак поел

[Salomatin]

Откровенно говоря ничего не понял, ни про Васю, но про других. Проблема кажется надуманной.

По мне так сервер должен выдавать по МАК адресу все настройки по правильному, без выгибонов. Или по крайней мере админ может сам потом вносить нужные ему поправки. На клиентских машинах стоит всего  одна настройка: "Получать автоматически".
Если клиент сам что -то вбивает, то значит хулиганит и админ это увидит, анализируя работу сети. При использовании того же Netams.  Занесет его в черный список.
У меня такой качал инет, я его занес. Так он сидел регистрировался и регистрировался. Так ничего не понял, а подойти спросить побоялся.
А вот уже политики сервера, кому что выдавать, тут можно править и Васю тоже. Случайным давать левые адреса. На сервере таких видно ( при использовании штатного DHCPD). И Маки их тоже видно.