Как делают меня фильтр MAC с сервером DHCP
Вы можете сделать это, указав только статический диапазон
dhcp-range = 192.168.0.0, статический
РЕДАКТИРОВАТЬ: Измените указанный выше диапазон адресов в соответствии с вашими требованиями.
Без указания динамических диапазонов dnsmask будет предоставлять адреса только тем хостам, у которых есть соответствующая конфигурация dhcp-host
# Specify a subnet which can't be used for dynamic address allocation,
# is available for hosts with matching --dhcp-host lines. Note that
# dhcp-host declarations will be ignored unless there is a dhcp-range
# of some type for the subnet in question.
# In this case the netmask is implied (it comes from the network
# configuration on the machine running dnsmasq) it is possible to give
# an explicit netmask instead.
#dhcp-range=192.168.0.0,static
В качестве альтернативы решению @ Chopper3 вы можете добавить iptables правила, подобные этим
# Create the DHCP_clients chain in the 'raw' table
iptables -t raw -N DHCP_clients
# Incoming DHCP, pass to chain processing DHCP
iptables -t raw -A PREROUTING -p udp --dport 67 -j DHCP_clients
# Allowed DHCP clients
iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:56 -j ACCEPT
iptables -t raw -A DHCP_clients -m mac --mac-source 00:11:22:33:44:57 -j ACCEPT
# Deny other clients not listed above
iptables -t raw -A DHCP_clients -j DROP
Изменить: Если вам нужно добавить дополнительные «известные» / разрешенные клиентов, просто выполните следующие действия для каждого дополнительного клиента:
# We insert a rule at the head of the chain using the '-I' command
iptables -t raw -I DHCP_clients -m mac --mac-source $CLIENT_MAC -j ACCEPT
(Примечание: он использует -I (вставить) вместо -A (добавить), поэтому новое правило будет первое правило, которое нужно проверить. Если мы не вставим, добавленные правила будут отменены правилом с -j DROP )
Если вам нужны только определенные MAC-адреса для получения DHCP Адреса просто создают ваш список резервирований, так как вы затем установили диапазон, охватывающий только эти IP-адреса. Таким образом, у него не будет больше адресов, которые можно было бы раздавать.
Я знаю, что это старый пост, но Я потратил на это приличное количество часов и подумал, что помогу любому, кто столкнется с этим. Новый сайт Dell полностью основан на javascript, и я не мог понять, как кодировать его для запроса данных сервисных тегов. Через некоторое время я подумал об использовании их мобильного сайта (mobile = no javascript), и это сработало для меня, используя perl / LWP для извлечения данных по каждому тегу службы. Я хакер Perl, так что кто-то другой может написать это немного более чисто. Ниже приводится исходная конфигурация системы. Идея состоит в том, что первый URL-адрес get извлекает файл cookie с тегом службы, а второй URL-адрес get извлекает данные, которые вы хотите получить о теге службы. Затем вы можете проанализировать "
Я не согласен с предыдущими исправлениями. за исключением ответа pepoluan.
Хотя я не знаю, является ли метод pepoluan истинным белым списком, он близок к правильному ответу. Ваша цель - заблокировать все данные для неправильного Mac. Простое отключение dhcp для незарегистрированных Mac не является исправлением, если они устанавливают ручной IP, который обычно является одним из трех диапазонов ... 10.0.0.x, 192.168.1.x или 192.168.0.x не решает проблему.
. Если вы используете другой предложенный ответ - не передавать dhcp на неизвестные Mac, убедитесь, что вы также изменили адрес вашего маршрутизатора на уникальную нераспознаваемую опцию и изменили диапазон IP-адресов на действительно странный. например 192.168.43.x с маршрутизатором 192.168.43.43 или что-то в этом роде. это не позволит им угадать диапазон вашей подсети и не будет иметь связи с сетью.
Это не безупречно, но это гораздо лучший способ защитить вашу сеть.