Re: Traffic filtern nach DHCP leases
Hallo, Christoph Petersen schrieb: Hallo, ich setze gerade ein Gateway für mein Studentenwohnheim auf und versuche alle unnötigen störenden Elemente zu tilgen. Manche der tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. also ich bin auch Admin in einem Wohnheim. Im Grunde wirst du dein Leben lang solchen Leuten hinterher rennen. Es ist ein ständiges wettrüsten. Da hilft nur eine Netzwerkordnung aufzustellen. Die Leute unterschreiben alle das sie diese anerkennen. Wir haben das Problem mit den IP's so gelöst das wir nur statische IP's vergeben. Jeder der neu einzieht muss seine MAC bekannt geben und wir tragen diese dann in den DHCP Server ein. Dann kannst du aus der gleichen quelle eine Datei /etc/ethers generieren. Dort wird MAC IP Zurdnung gespeichert. Wenn die MAC und die IP nicht übereinstimmen schmeißt der Router die Packete weg und der User hat nix davon die IP geändert zu haben. Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? wie gesagt erstelle auf dem Gateway die Datei /etc/ethers mit ip mac Zuordnung und der User hat nix von der anderen IP. Ein anderes Tool heißt arpwatch. Das Tool kann die eine Mail schicken sobald sich die zuordnung MAC IP ändert. So erkennst du schnell neue Station. In verbindung mit einem gemantchen Switch kann man dann sehr schnell die Ports abschalten von den Störenfrieden. Falls du mehr Infos haben willst kannst du mir ja gerne mal ne Mail schreiben. Danke für Hilfe! Christoph Gruß Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Am 27.09.2006 20:03 Uhr schrieb Michael Frank unter [EMAIL PROTECTED]: Tja, wie der Schwabe so schoen sagt (bin aus Stgt) : Schaffa isch halt a Geschaeft ;-) Naja, davon hab ich momentan genug. Neue Sprache lernen, arbeiten nebenbei auch noch studieren. Was solls - mach ja spaß. WEP ? huch ! Ich benutzte bei mir einen freeradius mit EAP-TLS und einer kleinen selbstgebauten CA. Bin super zufrieden damit. Solltest dazu halt entsprechende Accesspoints haben. Ich setzte derzeit ca. 12 Cisco Aironet 1200 ein, noch kombiniert mit div VLANs ... die sind halt nicht ganz billig ... Naja ich bin gerade seit ca. einem Monat in dem Studentenwohnheim und kann maximal ein Jahr bleiben. Inzwischen hab ich es aber schon mal geschafft, das der Servicevertrag mit der bisherigen Firma gekündigt wurde - jetzt kann ich Schritt für Schritt das ganze umstellen. Ich fürchte aber, das die Accesspoint-Hardware nicht gerade aus der Oberliga stammt - obwohl ein Draytek seinen Dienst als Router verrichtet. Wie sagt man so schön: Die Hoffnung stirbt zuletzt. Naja, aus meiner Erfahrung heraus, besteht haeufig ein direkter Zusammenhang zwischen Wirkung und Aufwand ;-) d.h. hoher Aufwand - grosse Wirkung. Wenn Du halt nicht so viel Aufwand treiben willst musst Du Dich wahrscheinlich mit weniger zufrieden geben. Alles nach einander. Erstmal die Kontrolle über das Netzwerk übernehmen - danach sehen wie sich das entwickelt. Wenn das alles funktionieren sollte kann man auch überlegen ob man nicht selber o.g. Serviceverträge anbietet :) Gruesse, micha Grüße Christoph
Re: Traffic filtern nach DHCP leases
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Christoph Petersen schrieb: ich setze gerade ein Gateway für mein Studentenwohnheim auf und versuche alle unnötigen störenden Elemente zu tilgen. Manche der tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. In unserem Studentenheim wurde das Problem per social engineering gelöst. Mitteilung am schwarzen Brett, dass so Scherze zu unterlassen sind und evtl. der Kabel physikalisch abgetrennt wird, wenn man sich nicht an die Regeln hält und erwischt wird :-) grüsse ando - -- /\ \ /ASCII Ribbon Campaign X against HTML email / \ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2.2 (GNU/Linux) iD8DBQFFGj5jVPRhauu8LyYRAkLAAJ0UX+i+32hFXTNJ2s/a9kfWK5bZZQCgoYC1 PZ3LoTnXe0RN6jyjIdlYiEU= =0LDM -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Christoph Petersen schrieb: Hallo Andreas, Am 26.09.2006 16:50 Uhr schrieb Andreas Kretschmer unter [EMAIL PROTECTED]: Grobe Idee: mit iptables die MACs/IPs zulassen. Aber was handfestes hast du nicht gerade griffbereit oder? Naja ich denke mal ich werde die liste der Leases auslesen und dafür Iptables Regeln erstellen. Allerdings müssten dann vom dhcpd jeweils was ausgeführt werden, wenn ein neues Lease vergeben wurde Geht sowas? Ich speicher die Ip / Mac / Benutzerdaten in einer Mysql. Von dort lese ich die Mac / Ip Daten aus und schreibe die dhcp Config. (Fixed Hosts) Gleichzeitig wird ein ein Iptables Script geschrieben, das ausser den registrierten Rechnern alles dropt. Funktioniert ohne Probleme und man kann sich ein nettes Webfrontend bauen, oder halt zb phpmyadmin nutzen. Per Cron wird alle 5 min gecheckt ob sich an dem Datenbankinhalt was gaendert hat, wenn ja werden die Configs neu geschrieben. Daher auch Multiuser(admin) tauglich. Das ganze in Perl. Es kommen nur Leute ins Netz die Ihre Mac mitgeteilt haben und die Rechner haben immer die gleiche Ip, was auch von Vorteil ist wenn Du Dinge wie zb Snort noch einsetzten willst. Kommt halt wirklich darauf an, was Deinen Zielsetzung ist ... Gruesse, micha -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
AW: Traffic filtern nach DHCP leases
Hallo Christoph! Schau dir Shurdix (www.shurdix.org) mal an. Das kann sowas was du willst, ich bei meinem Bruder in Studentenheim im einsatz. Mit freundlichen Grüßen Stefan -Ursprüngliche Nachricht- Von: Christoph Petersen [mailto:[EMAIL PROTECTED] Gesendet: Dienstag, 26. September 2006 16:30 An: debian-user-german@lists.debian.org Betreff: Traffic filtern nach DHCP leases Hallo, ich setze gerade ein Gateway für mein Studentenwohnheim auf und versuche alle unnötigen störenden Elemente zu tilgen. Manche der tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? Danke für Hilfe! Christoph ___ Dieses E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen. Wenn Sie nicht der richtige Adressat sind oder dieses E-Mail irrtuemlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie dieses Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieses Mails ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
Re: AW: Traffic filtern nach DHCP leases
Hallo Stefan, Am 27.09.2006 13:20 Uhr schrieb Stefan Gheorghe unter [EMAIL PROTECTED]: Schau dir Shurdix (www.shurdix.org) mal an. Das kann sowas was du willst, ich bei meinem Bruder in Studentenheim im einsatz. Danke für den Hinweis. Hab nun schon eine Debiankiste aufgesetzt mit, Proxy, dnscache, OpenVPN und CBQ QoS. Quasi ein Shurdix ohne das hübsche Webinterface. Das wird dann für's nächste mal eingesetzt ;) Mit freundlichen Grüßen Stefan Grüße Christoph
Re: Traffic filtern nach DHCP leases
Hallo Michael, Am 27.09.2006 12:37 Uhr schrieb Michael Frank unter [EMAIL PROTECTED]: Ich speicher die Ip / Mac / Benutzerdaten in einer Mysql. Von dort lese ich die Mac / Ip Daten aus und schreibe die dhcp Config. (Fixed Hosts) Gleichzeitig wird ein ein Iptables Script geschrieben, das ausser den registrierten Rechnern alles dropt. Funktioniert ohne Probleme und man kann sich ein nettes Webfrontend bauen, oder halt zb phpmyadmin nutzen. Per Cron wird alle 5 min gecheckt ob sich an dem Datenbankinhalt was gaendert hat, wenn ja werden die Configs neu geschrieben. Daher auch Multiuser(admin) tauglich. Das ganze in Perl. Ja sowas hatte ich auch überlegt aber ich bin momentan zu faul, da ich noch andere Webprojekte habe die mich programmiertechnisch schon schlauchen ohne Ende. Es kommen nur Leute ins Netz die Ihre Mac mitgeteilt haben und die Rechner haben immer die gleiche Ip, was auch von Vorteil ist wenn Du Dinge wie zb Snort noch einsetzten willst. Darauf wird es am Ende auch hinauslaufen, da hier unter anderem ein WLAN zum Einsatz kommt was einen unglaublich sicheren WEP-Key hat und quasi die halbe Straße an unserer Strippe hängt. Kommt halt wirklich darauf an, was Deinen Zielsetzung ist ... Einfach zu realisieren, möglichst wenig Aufwand, möglichst große Wirkung. Gruesse, micha Grüße Christoph
Re: Traffic filtern nach DHCP leases
Christoph Petersen wrote: Ja sowas hatte ich auch überlegt aber ich bin momentan zu faul, da ich noch andere Webprojekte habe die mich programmiertechnisch schon schlauchen ohne Ende. Tja, wie der Schwabe so schoen sagt (bin aus Stgt) : Schaffa isch halt a Geschaeft ;-) Es kommen nur Leute ins Netz die Ihre Mac mitgeteilt haben und die Rechner haben immer die gleiche Ip, was auch von Vorteil ist wenn Du Dinge wie zb Snort noch einsetzten willst. Darauf wird es am Ende auch hinauslaufen, da hier unter anderem ein WLAN zum Einsatz kommt was einen unglaublich sicheren WEP-Key hat und quasi die halbe Straße an unserer Strippe hängt. WEP ? huch ! Ich benutzte bei mir einen freeradius mit EAP-TLS und einer kleinen selbstgebauten CA. Bin super zufrieden damit. Solltest dazu halt entsprechende Accesspoints haben. Ich setzte derzeit ca. 12 Cisco Aironet 1200 ein, noch kombiniert mit div VLANs ... die sind halt nicht ganz billig ... Einfach zu realisieren, möglichst wenig Aufwand, möglichst große Wirkung. Naja, aus meiner Erfahrung heraus, besteht haeufig ein direkter Zusammenhang zwischen Wirkung und Aufwand ;-) d.h. hoher Aufwand - grosse Wirkung. Wenn Du halt nicht so viel Aufwand treiben willst musst Du Dich wahrscheinlich mit weniger zufrieden geben. Gruesse, micha -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Traffic filtern nach DHCP leases
Hallo, ich setze gerade ein Gateway für mein Studentenwohnheim auf und versuche alle unnötigen störenden Elemente zu tilgen. Manche der tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? Danke für Hilfe! Christoph
Re: Traffic filtern nach DHCP leases
am Tue, dem 26.09.2006, um 16:29:56 +0200 mailte Christoph Petersen folgendes: Hallo, ich setze gerade ein Gateway für mein Studentenwohnheim auf und versuche alle unnötigen störenden Elemente zu tilgen. Manche der tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? Grobe Idee: mit iptables die MACs/IPs zulassen. Andreas -- Andreas Kretschmer Kontakt: Heynitz: 035242/47215, D1: 0160/7141639 (mehr: - Header) GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Andreas Kretschmer schrieb: am Tue, dem 26.09.2006, um 16:29:56 +0200 mailte Christoph Petersen folgendes: Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? Grobe Idee: mit iptables die MACs/IPs zulassen. Dann lieber MAC-Adressen. Die Chance, in einem Class C Netzwerk eine zugelasse IP-Adresse durch Zufall zu finden, ist relativ gross. Bei MAC-Adressen muss man schon etwas mehr Arbeit investieren, und wer das macht, bei dem hast du mit solchen Mitteln eh verloren. Da waere vielleicht ein Proxy angebracht, so mit Benutzeranmeldung und so... Aber ich weiss ja nicht, wie weit du das treiben willst. ;) MfG Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFGU3QZRp6KEAo/3oRAmnlAKDARQDqhq4ce8f5RqCvDNDSkfS1NwCgzT52 ff8uDLjiTmRbgdK+YjvyP9E= =WWBa -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Hallo Jan, Am 26.09.2006 17:57 Uhr schrieb Jan Kohnert unter [EMAIL PROTECTED]: Dann lieber MAC-Adressen. Die Chance, in einem Class C Netzwerk eine zugelasse IP-Adresse durch Zufall zu finden, ist relativ gross. Bei MAC-Adressen muss man schon etwas mehr Arbeit investieren, und wer das macht, bei dem hast du mit solchen Mitteln eh verloren. Da waere vielleicht ein Proxy angebracht, so mit Benutzeranmeldung und so... Der Proxy kommt eh - transparenter Squid. Mir geht es nur darum die Spaßvögel rauszuhalten, die nicht normal das LAN nutzen, sondern denken sie sind die IT Experten. Aber ich möchte eigentlich keine HTTP Authentifizierung. Aber ich weiss ja nicht, wie weit du das treiben willst. ;) Die andere Möglichkeit wäre dann ein MAC-Filter woebei ich allerdings keine Lust habe 180 Rechner (wohl noch mehr) hier zu registrieren - vor allem, weil ich das für lau mache... MfG Jan Grüße Christoph
Re: Traffic filtern nach DHCP leases
Hallo Andreas, Am 26.09.2006 16:50 Uhr schrieb Andreas Kretschmer unter [EMAIL PROTECTED]: Grobe Idee: mit iptables die MACs/IPs zulassen. Aber was handfestes hast du nicht gerade griffbereit oder? Naja ich denke mal ich werde die liste der Leases auslesen und dafür Iptables Regeln erstellen. Allerdings müssten dann vom dhcpd jeweils was ausgeführt werden, wenn ein neues Lease vergeben wurde Geht sowas? Andreas Grüße Christoph
Re: Traffic filtern nach DHCP leases
Jan Kohnert schrieb: n gültiges DCHP lease haben? Grobe Idee: mit iptables die MACs/IPs zulassen. Dann lieber MAC-Adressen. Die Chance, in einem Class C Netzwerk eine zugelasse IP-Adresse durch Zufall zu finden, ist relativ gross. Bei MAC-Adressen muss man schon etwas mehr Arbeit investieren, und wer das macht, bei dem hast du mit solchen Mitteln eh verloren. Da waere vielleicht ein Proxy angebracht, so mit Benutzeranmeldung und so... Wie wäre es das auf Switchebene zu realisieren? Managed Switches bieten dieses Feature und die gibts für n paar Euro. Ich spreche hier von IEEE802.X Andere Möglichkeit wäre DHCP-Option 24. Dies bewirkt, dass nur registrierte MACs ans Netz dürfen... Welchen Weg du nutzt bleibt dir überlassen. Aber ich weiss ja nicht, wie weit du das treiben willst. ;) MfG Jan hth Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFGU3QZRp6KEAo/3oRAmnlAKDARQDqhq4ce8f5RqCvDNDSkfS1NwCgzT52 ff8uDLjiTmRbgdK+YjvyP9E= =WWBa -END PGP SIGNATURE- ___ Der frühe Vogel fängt den Wurm. Hier gelangen Sie zum neuen Yahoo! Mail: http://mail.yahoo.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Hallo Thomas, Am 26.09.2006 19:37 Uhr schrieb Thomas Halinka unter [EMAIL PROTECTED]: Wie wäre es das auf Switchebene zu realisieren? Managed Switches bieten dieses Feature und die gibts für n paar Euro. Ich spreche hier von IEEE802.X ist nicht drin. Die Hausverwaltung will nichts ausgeben. Also Hardware kaufen ist leider nicht. Andere Möglichkeit wäre DHCP-Option 24. Dies bewirkt, dass nur registrierte MACs ans Netz dürfen... Daran hab ich auch gedacht, aber das gilt ja nur für DHCP Leases. Soll heißen der dhcpd verteilt nur an registrierte MAC's. Wenn sich nun aber jemand eine statische IP verteilt ist das ausgehebelt... Welchen Weg du nutzt bleibt dir überlassen. Ich denke ich werde nicht um eine User Authentifizierung oder das Eintragen aller MAC's in der Firewall kommen... hth Thomas Grüße Christoph
Re: Traffic filtern nach DHCP leases
* Christoph Petersen: Lange Rede kurzer Sinn: Wie kann ich das Gateway so einstellen, dass nur IP's kommunizieren dürfen, die ein gültiges DCHP lease haben? Als Idee: Internen DNS verwenden, nur der interne DHCP-Server darf ihn updaten, und dann nur die Rechner kommunizieren lassen, bei denen die Rückwärtsauflösung stimmt. Andreas -- Be careful! UGLY strikes 9 out of 10! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Am Dienstag 26 September 2006 16:29 schrieb Christoph Petersen: tollen Bewohner sind aber der Meinung, dass es viel cooler sei sich statische IP's zu geben und damit andere Leute ausm Netz zu kicken, die die gleiche IP per DHCP bekommen. Was hilft, wenn Du mangels Geld keine HW bekommst, die Dir hilft und die SW zu umständlich ist, ist bei Missbrauch lart oder alternativ SNIP einzusetzen (man lart, man knife (asr-manpages)) *g* SCNR Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: Traffic filtern nach DHCP leases
(Sorry, falls die Mail zwei Mal ankommt - die erste scheint verschollen zu sein) Hallo, Christoph Petersen wrote: erstellen. Allerdings müssten dann vom dhcpd jeweils was ausgeführt werden, wenn ein neues Lease vergeben wurde Geht sowas? Du könntest das Logfile beobachten: Sep 26 19:57:04 piii700 dhcpd: DHCPREQUEST for 192.168.1.45 from 00:06:1b:dc:b9:d8 via eth1 Sep 26 19:57:04 piii700 dhcpd: DHCPACK on 192.168.1.45 to 00:06:1b:dc:b9:d8 via eth1 (hier wird nach dhcpd.log geschrieben, normalerweise ist das messages oder syslog - kann ich gerade nicht genau sagen) ungetestet: tail -f /var/log/dhcpd.log | grep DHCPACK | while read line; do MAC=$(echo $line | sed s/.*to\ \(..:..:..:..:..:..\).*\ via.*/\1/) iptables -I FORWARD 1 --mac-source $MAC -j ACCEPT done Dann muss man natürlich noch schauen, dass die Regeln irgendwann auch wieder gelöscht werden. Auch ist vielleicht ratsam, die freigegebenen Adressen irgendwo zu vermerken, um nach einem Reboot alle sofort wieder freizugeben. hth, Wolf -- Fehlermeldungen bei Oracle sind teilweise so genau wie ne Herzoperation mit ner Kettensäge (Mag im Nurpel-Forum) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Traffic filtern nach DHCP leases
Hallo Wolf, Am 26.09.2006 21:45 Uhr schrieb Wolf Wiegand unter [EMAIL PROTECTED]: ungetestet: tail -f /var/log/dhcpd.log | grep DHCPACK | while read line; do MAC=$(echo $line | sed s/.*to\ \(..:..:..:..:..:..\).*\ via.*/\1/) iptables -I FORWARD 1 --mac-source $MAC -j ACCEPT done Das klingt prima, man könnte in der do-Anweisung zusätzlich noch durch die Leases in der Liste vom dhcpd Iterieren und damit würde sich sogar das andere Problem lösen. Dann muss man natürlich noch schauen, dass die Regeln irgendwann auch wieder gelöscht werden. Auch ist vielleicht ratsam, die freigegebenen Adressen irgendwo zu vermerken, um nach einem Reboot alle sofort wieder freizugeben. Ich finde es eleganter dann direkt eine Chain dafür anzulegen, wenn ein neuer Eintrag kommt die Chain zu flushen und dann die Leases wieder einzulesen... hth, Wolf Grüße Christoph