Шлюз

[klaone]

Здравствуйте. Есть два сервера, первый в роли шлюза, второй в роли dhcp. Задача: сделать на шлюзе статические ip с привязкой  для определенный группы человек.

Поднять шлюз не проблема, но если другой сотрудник пропишет данный шлюз, то он получит автоматом доступ минуя второй сервер.

[fisher74]

Любимое словцо хомячков "пропишет" и "прописка"
Для доступа к ресурсам шлюза в качестве идентификатора необязательно использовать ip, есть и другие способы, например, по MAC-адресу.

если другой сотрудник пропишет данный шлюз

Да у Вас там бардак. Сотрудники должны заниматься возложенной на них работой, а не "прописывать" шлюзы

[klaone]

Ваш пост конечно же оригинален, но может поможете...

[fisher74]

Я Вам и помогаю. Опираясь на предоставленные сведения, я предложил вариант решения проблемы.

[klaone]

Я Вам и помогаю. Опираясь на предоставленные сведения, я предложил вариант решения проблемы.

Пришёл сотрудник со своим ноутбуком, воткнул сетевой кабель и привет. Коммутаторов управляемых нет, администрация денег не даёт.

Поэтому нужно решение на самом сервере. Если у вас есть знания, что вам мешает помочь...

[fisher74]

Один из вариантов решения я Вам озвучил.

[djrust]

Как вам и говорили, на втором шлюзе сделать привязку ip к Mac на dhcp сервере

[Azure]

Задача: сделать на шлюзе статические ip

Это не «задача», а Ваш вариант решения. Научитесь правильно формулировать мысли, прежде чем предъявлять претензии.
Очевидно что задача состоит в ограничении доступа на внешнюю сеть. Решается это множеством способов: от установки ПО/настройки установленного на сервер-шлюзе до покупки коммутаторов. Определитесь по какому признаку/способу будет проводится разграничение. Коллега fisher74 один из вариантов(по МАС-адресу) Вам предложил.

[fisher74]

привязку ip к Mac на dhcp сервере

только, учитывая "самостоятельность" пользователей, я предлагал привязываться к MAC-у непосредственно на шлюзе, а не на DHCP.
Хотя, конечно, второе (DHCP) вполне дополняет первое.

Я к тому, что DHCP это скорее удобняшка для админа, нежели средство распределения ресурсов сети.

[djrust]

я предлагал привязываться к MAC-у непосредственно на шлюзе, а не на DHCP.

Объясните как это делается? А то я что то не понимаю принципа...
ACL листы по MAC делать на шлюзе?так? Т.е прописывать в ACL все mac компов кому разрешен доступ?


А не проще на шлюзе заблокировать выход в интернет для локальной сети,но разрешить для второго шлюза?

[fisher74]

Это смотря какими средствами организован шлюз, klaone-же это в секрете держит.
Если кальмар, то acl-ы, если netfilter, то --mac-source

ЗЫ повторюсь: фильтрация по mac не единственный и не лучший способ для озвученной задачи

[klaone]

ЗЫ повторюсь: фильтрация по mac не единственный и не лучший способ для озвученной задачи

А какой еще? Кальмар не используется на шлюзе. Задача шлюза в роли фаервола. Защита от внешней сети, пропуск нескольких сотрудников в обход второго сервера, запрет использования шлюза для остальных сотрудников. DHCP на шлюзе не используется

Вот ниже приведенные правила решат мою задачу?

Код: [Выделить]

iptables -A FORWARD -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0F:EA:90:07:05 -j ACCEPT
iptables -A FORWARD -j DROP

[fisher74]

Решат,но не полностью. Да и выбранный алгоритм, мягко говоря, не очень...
По порядку.
Почему "не полностью". Потому что не обеспечен проход обратного трафика. Т.е. получилась система "ниппель" - туда дуй, а оттуда фиг. Хотя вполне вероятно, что это уже сделано, ведь полный список правил мы не видели.

Почему "алгоритм не очень". В описанном алгоритме применяется политика пропуска пакетов "всем разрешено, кроме...". В данном конкретном случае, лучше применить политику "всем запрещено, кроме...". Делается это изменением действия по умолчанию для цепочки FORWARD (в данном конкретном случае)

[klaone]

В данном конкретном случае, лучше применить политику "всем запрещено, кроме...". Делается это изменением действия по умолчанию для цепочки FORWARD (в данном конкретном случае)

Напишите пожалуйста правила, как это должно быть. Правил пока никаких на шлюзе нет.

[fisher74]

Код: [Выделить]

sudo iptables FORWARD -P DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT
sudo iptables -A FORWARD -m mac --mac-source 00:0F:EA:90:07:05 -j ACCEPT
... e.t.c.Такая политика удобна для новичка... да и не только.
При такой политике, при добавлении нового "клиента" не нужно высчитывать, каким по счёту должно быть правило, чтобы оказаться раньше DROP (иначе оно не сработает)