Вопрос по DHCP и распределение статики

[S-VL]

Здравствуйте.

На каком уровне сделать распределение + запред для IP адресов по следующей схеме.

В компьютер eth0 воткнута сеть с множество IP (для примера возьмем обычный маршрутизатор 192.168.1.1 только представим что на нем отключен dhcp)

клиентские ПК находятся в локальной сети eth1

eth0 + eth1 = br0 (сетевой мост)

На сервере поднят isc-dhcp-server который раздает IP адреса (статически) в br0 по mac адресам.

В такой схеме все работает отлично, только есть следующая загвоздка. Клиент из сети может вручную прописать свободный IP адрес (статику) и ему будет также все доступно (оно и понятно и с этим все ясно)

Как запретить клиентам использовать чужой/свободный IP адрес при этом, что клиенту можно разрешить использовать несколько IP адресов, тоесть Юзер1 может только ходить по IP 192.168.1.101, юзер2 192.168.1.102 а вот юзер3 может ходить как по 192.168.1.103 так и 192.168.1.104 и по 192.168.1.105 но в другие IP адреса присваивать не может.

решение iptables?

[koshev]

решение iptables?

iptables+ipset(ip,mac)+isc-dhcpd(execute) как вариант.

[S-VL]

не могу найти решение конкретно моей задаче, дайте пожалуйста простой пример по ipset никогда с ним не сталкивался

Получается должно быть что-то вроде
# ipset --create user1 macipmap --network 192.168.1.0/24
# ipset --add user1 192.168.1.101,00:11:22:33:44:55
# iptables -A INPUT -i br0 -m set --match-set user1 src -j ACCEPT

[koshev]

У меня к Вам вопрос. А откуда и куда должны ходить вышеупомянутые хосты?
В пределах физической сети это обычно делается управляемыми коммутаторами.

[S-VL]

Если говорить по факту eth0 - подсеть внешних ip, в бридже br0 с виртуалками. Есть так называемые "гости" которым не положено присвоить "не положеный ip"

В пределах физической сети это обычно делается управляемыми коммутаторами.

Я понимаю, но не имеем.

Спасибо за отзывчивость, нашел временное решение "костыль", добавляя в блеклист ipset по ip адресу. чтобы ручками постоянно не писать, заморочился, написал программу, которая удаляет из блеклиста ip и прописывает в лист по маку. В общем "костыль" но вопрос в принципе решил, вопрос был очень срочный и нехватка знаний в этой области дало о себе знать. Пока работает, изучаю данный вопрос более углубленно, чтобы найти действительно адекватное (вернее правильное) решение.

[AnrDaemon]

Как запретить клиентам использовать чужой/свободный IP адрес

Запретить в приказном порядке. Да, вывесить приказ, "запрещается самовольно вносить изменения в конфигурацию сети, наказание штраф/увольнение…"

Ваша проблема в том, что вы пытаетесь решить нетехническую проблему техническими средствами. Работать не будет. Именем Гуся.

Что вам действительно нужно - это своевременное обнаружение таких "умельцев", и своевременное же принятие административных мер.