[DHCPD] IP op basis van hostname uitdelen - Linux en overige clients

donderdag 7 september 2006 01:34

Acties:

Topicstarter

Beste mensjes,

Voor de organisatie voor een middelkleine LAN ben ik op zoek naar het volgende.

Tegen al jullie regels in gebruiken wij WEL DHCP

Waarom? Omdat ik geen zin heb om 40 computers bij langs te gaan om het IP + Gateway + DNS in te stellen en de bezoekers de grote n00bs zijn op netwerk gebied.
Daarnaast hebben we met DHCP nog nooit eerder problemen gehad dus de eerste de beste die hierover wil gaan loeien

kan beter niet reageren.

Wij willen nu het IP koppelen aan een hostnaam. Bij betaling krijgen bezoekers de hostnaam die ze dan moeten gebruiken. Vervolgens is het de bedoeling dat de DHCP server een ip-adres toewijst uit de daarvoor opgegeven range.

Onbekende hosts worden momenteel al geblokkeerd. Echter krijgen hosts waarvan ik de naam reeds heb toegekend aan een ip adres geen IP.

Voor de duidelijkheid. Ik werk totaal NIET met mac-adressen anders is het helemaal ondoenlijk.
Het systeem wat ik voor ogen heb is in principe hetzelfde als dat @home gebruikt. Er moet een hostname ingesteld zijn/meegegeven worden om een IP adres te verkrijgen.

De vraag is dus hoe realiseer ik dit.

In een eerdere post zag ik het volgende:

Als je in je dhcpd.conf de volgende 2 regels zet dan worden onbekende PC's geweigerd en hostnames moeten overeen komen (2e regel).
code:
1
2
deny unknown-clients;
use-host-decl-names on;
Je kan dat gewoon met de volgende regels aan bepaalde PC's adressen geven:
code:
1
2
3
host PC1 {
   fixed-address 10.0.0.1
}
Maar iemand kan altijd nog zijn gegevens statisch instellen en dan heb je niks meer aan je ip-restricties!

Zo heb ik het dus ook (alleen zit ik in een ander subnet) maar tot nog toe zonder resultaat. Kan iemand misschien helpen?

tnx

donderdag 7 september 2006 01:47

Acties:

Verwijderd

DHCP is alleen om bepaalde gegevens toe te kennen, niet zozeer voor access restrictie (misschien mogelijk maar in beperkte mate).
Je zou misschien iets met scripting kunnen doen,zodat een hostnaam bekend is (of betaald voor een bepaalde periode) iets met IP tables toegang kunnen verlenen of juist tegenhouden.
(intern verkeer in het zelfde subnet zal al wat moeilijker worden om tegen te houden)

Gaat het om inet toegang van bepaalde hosts?

[ Voor 13% gewijzigd door Verwijderd op 07-09-2006 01:47 ]

donderdag 7 september 2006 10:01

Acties:

not-known

[BI] Crewmember

Waarom zo moeilijk doen.. Je maakt 1x een manual met 3 screenshots en je bent ook klaar

Officiëel bikkel'n in #bikkels
Campzone Veld C FieldAdmin
De Veld C site!

donderdag 7 september 2006 11:01

Acties:

Wirehead

idd, zou ik ook doen. Het is voor die "n00bs" even moeilijk om een hostname in te stellen, als een IP-address via een manual.

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

donderdag 7 september 2006 11:07

Acties:

elevator

Officieel moto fan :)

Houd je er rekening mee dat voor domain members het veranderen van de PC naam van een Windows client (die zullen er ook wel zijn onder die 40 pcs ga ik van uit) - niet zo handig is om te doen?

donderdag 7 september 2006 12:21

Acties:

LollieStick

Topicstarter

De hostnaam wordt wel meegezonden. Dat is duidelijk te zien in de logs. Er wordt vervolgens alleen niets mee gedaan.

We hebben voor dit systeem gekozen omdat het iets lastiger te faken is. Men kan rustig de hostname van een ander gebruiken maar dan wordt het lastig connecten met een ip-conflict

In principe willen we het dus zo hebben:

Betaald = access tot netwerk
Niet betaald = geen access tot netwerk.

edit:

Ik zie dat mijn titel ook niet allesomschrijvend is. Fout van mij. Kan iemand het aanpassen naar "ip op basis van hostname" of iets dergelijks?

[ Voor 16% gewijzigd door LollieStick op 07-09-2006 12:22 ]

donderdag 7 september 2006 13:28

Acties:

deepbass909

[☼☼] [:::][:::] [☼☼]

Ik zou een kleine extra log/block actie iig laten uitvoeren door ip tables. Op het moment dat een pc een ip-adres aanvraagt, wordt zijn mac-adres gelogt. Op dat moment kan je in plaats van het ip-adres, het mac-adres toegang erkennen. Dat is so wieso een betere beveiliging (als ik weet wat je pool is, zou ik zelf bijvoorbeeld gewoon wat adressen anders kunnen proberen en zo toegang krijgen).

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

donderdag 7 september 2006 13:38

Acties:

DemonTPx

hoe komen niet-betalers eigenlijk binnen dan?!

donderdag 7 september 2006 15:16

Acties:

LollieStick

Topicstarter

Het is gewoon een zaaltje waar we met z'n allen zitten. Iedereen kan in principe in- en uit lopen. Nou werd het nog wel eens vergeten te betalen. Daar willen we nu dus een eind aan maken. Natuurlijk kunnen we voor iedereen entree gaan heffen, maar dat is niet de bedoeling. We willen ook graag kijkers, potentieel nieuwe klanten dus.

donderdag 7 september 2006 15:39

Acties:

deepbass909

[☼☼] [:::][:::] [☼☼]

Het betreft dus vaste pc's?
Volgens mij zijn daar wel scripts of programma's voor te krijgen die simpelweg met 1 druk op de knop verkeer blokken of juist toestaan...

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

donderdag 7 september 2006 21:54

Acties:

LollieStick

Topicstarter

Nee pc's die mensen zelf meenemen.

Zitten ook laptops e.d. tussen (niet dat dat een ruk uitmaakt).

vrijdag 8 september 2006 09:53

Acties:

igmar

ISO20022

LollieStick schreef op donderdag 07 september 2006 @ 15:16:
Het is gewoon een zaaltje waar we met z'n allen zitten. Iedereen kan in principe in- en uit lopen. Nou werd het nog wel eens vergeten te betalen. Daar willen we nu dus een eind aan maken. Natuurlijk kunnen we voor iedereen entree gaan heffen, maar dat is niet de bedoeling. We willen ook graag kijkers, potentieel nieuwe klanten dus.

En waarom doe je dan in hemelsnaam zo vreselijk moeilijk ? Je zet het netwerk standaard dicht (met een redirect naar een proxy), en vervolgens laat je de proxy bepalen wie er op het netwerk mag. Da's met wat scriptwerk + apache wel te doen.

Niet iedereen wil z'n hostname veranderen omdat men toegang tot iets wil hebben. Hostname veranderen == booten onder windows, en verder met alle risico's vandien. Toegang scherm je af op de gateway, niet op je DHCP server.

vrijdag 8 september 2006 09:59

Acties:

DemonTPx

igmar schreef op vrijdag 08 september 2006 @ 09:53:
[...]

En waarom doe je dan in hemelsnaam zo vreselijk moeilijk ? Je zet het netwerk standaard dicht (met een redirect naar een proxy), en vervolgens laat je de proxy bepalen wie er op het netwerk mag. Da's met wat scriptwerk + apache wel te doen.

Niet iedereen wil z'n hostname veranderen omdat men toegang tot iets wil hebben. Hostname veranderen == booten onder windows, en verder met alle risico's vandien. Toegang scherm je af op de gateway, niet op je DHCP server.

Met een proxy blokkeer je de idioten die bijv. bittorrent gebruiken nogsteeds niet. Alleen maar HTTP en FTP enzo..

vrijdag 8 september 2006 10:46

Acties:

igmar

ISO20022

DemonTPx schreef op vrijdag 08 september 2006 @ 09:59:
Met een proxy blokkeer je de idioten die bijv. bittorrent gebruiken nogsteeds niet. Alleen maar HTTP en FTP enzo..

Sinds wanneer ? Wat belet je om op de gateway alles dicht te zetten ? Je kan per gebruiker bepalen wat je open moet zetten.

vrijdag 8 september 2006 13:27

Acties:

RiDo78

Ik zou kijken of je ergens een manageble switch te pakken kan krijgen (2de hands ofzo). Betaald? zet je de poort open. Niet betaald? poort blijft dicht en de PC krijgt nieteens een link.

Al vind ik het ook wel wat hebben om al het verkeer via een proxy te trekken en de proxy te laten bepalen wie wel en wie geen toegang mag.

vrijdag 8 september 2006 13:32

Acties:

BCC

Het is een stuk gebruikelijker om dit op MAC adres te doen ipv hostname. Is dat geen optie? Daar is ook een stuk meer over te vinden...

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

vrijdag 8 september 2006 21:58

Acties:

LollieStick

Topicstarter

Het heeft helemaal niets met gateways te maken. We hebben daar wel internet maar dat staat alleen open voor de organisatie. Niet voor de bezoekers. Deze krijgen dus ook helemaal geen gateway adres meegeleverd.

Voor @home heb je bijvoorbeeld het volgende vanuit een linux situatie:

code:

1	linux~# dhcpcd -h CC00000-A eth0

Zonder het "-h CC00000-A" gedeelte krijgt de computer niet eens een IP.
Ik kan er ook rustig een andere netwerkkaart in rammen. De computer krijgt een ip zodra die hostname meegegeven wordt, anders niet. Zoiets wil ik dus ook invoeren. Nu kunnen we wel heel lastig gaan doen met proxies en gateways en weet ik veel wat nog meer maar daarmee ben ik niet geholpen.

Ik realiseer me heel goed wat de pro's en de con's zijn, maar hiervoor hebben we een duidelijke afweging gemaakt. Ook onder onze bezoekers blijkt dat veel mensen het niet erg vinden om hun hostname te wijzigen voor een dagje.

Iedereen gebruikt er toch Windows, dus wat dat "alle gevolgen van dien" er mee te maken heeft snap ik helemaal niet. Niet iedereen is fanatieke Linux gebruiker.

vrijdag 8 september 2006 22:09

Acties:

not-known

[BI] Crewmember

Als mensen nu willen netwerken doen ze het toch wel, klein vlan in eigen range opgooien en hoppa gaan met die banaan. Het is vrij zinloos dus. Met een beetje geluk kan iemand zelfs nog een static IP instellen in de range van het dhcp domein.. nog doellozer dus

Dat er n00bs zitten en die dit niet weten, oké. Maar waarom alsnog moeilijk doen terwijl het ook zo simpel anders kan.

Officiëel bikkel'n in #bikkels
Campzone Veld C FieldAdmin
De Veld C site!

vrijdag 8 september 2006 22:17

Acties:

axis

De enige manier om beheer te kunnen hebben over het al dan niet deelnemen aan het lokale netwerk, is inderdaad een managed switch neerzetten, en pas als een gebruiker betaalt, het poortje op de switch aanzetten.

Als een windows machine geen DHCP lease krijgt, deelt ie zichzelf een APIPA adres toe, een 169.x.x.x adres.. En kan iedere gamer op je netwerk prima gamen, zonder dat jij er iets aan doet..

Enne, de laatste keer dat ik op een lanparty ben geweest is al weer tien jaar terug, maar is het niet erg onhandig om geen internet te hebben? Misschien drivertje downloaden hier, even mail checken daar, etc.. Ik zou mijn gebruikers gewoon allemaal internettoegang geven, maar cappen op 10kB/5kB ofzo.. Te langzaam om te downloaden e.d., maar dan kun je wel IETS doen.. Maar goed, dat ben ik..

[ Voor 13% gewijzigd door axis op 08-09-2006 22:19 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 8 september 2006 22:23

Acties:

LollieStick

Topicstarter

Die mensen weten niet eens wat een VLAN is. Jullie denken veel te veel in jullie eigen wereld. Hoe kom ik onder een dergelijke beveiliging uit. Tuurlijk kan je er onder uit komen dat kan met elke beveiligingsmethode.

Ik heb nu van niemand gehoord of het überhaupt mogelijk is met DHCPD. Als het nou niet mogelijk is kunnen we kijken naar andere methoden om dit probleem op te lossen.

@Axis:

Tja... hadden we maar een managed switched. Dan was het niet zo moeilijk geweest, maar deze hebben we helaas niet.

[ Voor 14% gewijzigd door LollieStick op 08-09-2006 22:26 ]

vrijdag 8 september 2006 22:58

Acties:

not-known

[BI] Crewmember

Ik denk niet dat je ons punt geheel begrijpt.. subtiel proberen we te wijzen op het feit dat jij, maar in feite dus niemand dit moet toepassen omdat het lettererlijk onzin is. Het is een beveiliging van 0,0 en in een professionele wereld niet toepast. Het geval van een ISP hoef je er wat dat betreft niet bij te halen daar dat geen standaard ethernet netwerk is.

Officiëel bikkel'n in #bikkels
Campzone Veld C FieldAdmin
De Veld C site!

vrijdag 8 september 2006 23:02

Acties:

axis

LollieStick schreef op vrijdag 08 september 2006 @ 22:23:
Ik heb nu van niemand gehoord of het überhaupt mogelijk is met DHCPD. Als het nou niet mogelijk is kunnen we kijken naar andere methoden om dit probleem op te lossen.

Zoals ik al zei, je windows machines krijgen toch wel een ip-adres, of dit nu van jou komt of niet.. En kunnen ze gewoon met elkaar praten.. Ze kunnen echter niet bij je gameservers ofzo, mocht je die hebben staan.. Aan jou om te beslissen of dit genoeg veiligheid is..

En misschien zijn die 40 gebruikers wel niet zo slim, er hoeven maar een paar galbakken tussen te zitten.

En wat al eerder is aangekaart, als iemand een PC in een thuisdomein heeft hangen (zoals ik) of een bedrijfslaptopje ofzo, dan kun je niet zomaar de computernaam aanpassen.. Maar dat had je dus al een beetje geinventariseerd onder je gebruikers..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 8 september 2006 23:07

Acties:

axis

Enne, wij tweakers duiken nog al eens te snel de techniek in.. Is het hele probleem niet op een andere manier op te lossen? Dat je werkt met entree kaartjes? Of elke PC die door de deur komt afrekenen? Of dat je op een kaart aftekent wie betaald heeft, en gewoon af en toe eens een rondje loopt?

Weet niet hoe je netwerk eruit ziet? Een of 2 grote switches? Hang je switch op waar niemand erbij kan zonder sleutel (kast, achter deur) en stop het netwerkkabeltje er pas in als ze betaald hebben, etc..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Pagina: 1

Reageer