On 01.04.2009 13:56, Omer Barlas wrote: > Şirkette bir tane DHCP sunucumuz var, kendi kullandığımız subnete dışarıdan > erişimi kapattım fakat her ne kadar "deny client-updates" ayarını kullansam > da IP adresini kendisi atayan herhangi birisi gayet rahat bir şekilde > subnete dahil oluyor. > > Bunu engellemenin bir yolu var mı? İlla ki iptables seviyesinde MAC > adresleri ile bir çözüm mü üretmem gerekiyor?
Kesin cozum yok. Isteyen MAC adresini de kolayca degistirilebilir. * Switch ayarlarina bakin. Tanimadigi MAC adreslerinin baglanmasina izin vermesin. * kac makina varsa, dhcp'de o kadar adetlik bir scope tanimlayip MAC adresleri ile eslestirin. * Rogue dhcp sunucusu kurulabilecegini de dusunun ve engel olun * iptables ile MAC kisitlamsi getirin. vs Ama bunlarin hepsi etrafindan kolayca dolasilabilecek cozumler. Esas sorun dhcp protokolunde "access control" olmamasi. Yani ne yapsak tam cozum olmaz. Daha da esasinda dhcp'nin aslinda tcp/ip'nin eksikligini gidermek icin yapilmis "gross bir hack" olmasi. Daha duzgun bir protokolde dhcp tarzi bir yamaya ihtiyac olmazdi. Kisaca dhcp'yi secure hala getirmek icin ugrasmayin. O savasi kaybedersiniz. Sunucu ve diger bilgisayarlara erisimi guvenli hala getirin (ssh, kerberos vs vs). -- Eray _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
