dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

[versus]

А как быть если клиенты получаю адреса используя cisco как релей? Между клиентом и dhcp сервером стоит циска-маршрутизатор.

в конфиге для кого написано :

# Legal DHCP Serverz, space separated mac address
LEGAL_SERVERS="00:15:17:b8:f9:1e 00:15:17:b8:f9:1f 00:1b:21:21:83:d5"

[blackjack]

Это немного не то.
Клиенты в одном сегменте сети, а dhcdrop запускается в другом. Сети разделены маршрутизатором cisco.
Вот как работает dhcp relay на циске.

Relay agents are used to forward requests and replies between clients and servers when they are not on the same physical subnet. Relay agent forwarding is distinct from the normal forwarding of an IP router, where IP datagrams are switched between networks somewhat transparently. Relay Agents receive Dynamic Host Configuration Protocol (DHCP) messages and then generate a new DHCP message to send out on another interface.

[versus]

dhcdrop запускается в другом

это мы конечно должны были узнать телепатически? в любом случае dhcdrop должн быть там где идут запросы от пользователей а не там где мы эти запросы отпроксировали и обрабатываем.

[blackjack]

Да причем здесь телепатические спопобности,

я вот полагал что после этой фразы будет понятно

Между клиентом и dhcp сервером стоит циска-маршрутизатор.

значит мне пока эта прога не поможет.

[blackjack]

я имел ввиду что и dhcdrop запускется на dhcp сервере

[versus]

Я ж говорю телепатически должны были узнать что твой дхцп сервер там же где ты запускаешь дхцпдроп!

[mefer]

А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.

[Unix]

А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.

И что нам это даст?

[goletsa]

А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.

И что нам это даст?

dhcp сервер будет в одной сети с клиентами

[Gray]

Устанавливаем dhcdrop:
cd /usr/ports/net-mgmt/dhcdrop
make install clean

Настройка автоматического запуска:
ee /usr/local/etc/rc.d/dhcdrop.sh

Вставляем следующий скрипт предоставленый Andrey Zentavr - правим под свои нужды

#!/usr/local/bin/bash

# (c) 2009, Andrey Zentavr
# To use this software, please install port from /usr/ports/net-mgmt/dhcdrop
# Or download port tarball from http://www.freebsd.org/cgi/cvsweb.cgi/ports/net-mgmt/dhcdrop/dhcdrop.tar.gz?tarball=1
# and unpack it into /usr/ports/net-mgmt/dhcdrop

# Legal DHCP Serverz, space separated mac address
LEGAL_SERVERS="00:15:17:b8:f9:1e 00:15:17:b8:f9:1f 00:1b:21:21:83:d5"
#              gw1:em0+vlan***   gw1:em1           nodeny:em0

DROPPER="/usr/local/sbin/dhcdrop"
IFNAME="em0 vlan10 vlan30"         # Interfaces on our Router, space separated
PARAMS="-t -m 3"

# Lets Go!
# legal params
for mac in ${LEGAL_SERVERS}; do
    LMAC="${LMAC} -l ${mac}"
done

#echo ${LMAC}

# Discovering on every interface
for IF in ${IFNAME}; do
   echo "Processing interface ${IF}"
   # test to any DHCP-Server
   ${DROPPER} -i ${IF} ${LMAC} ${PARAMS}
   
   # Check for status 200
   if [ $? = 200 ]; then
       echo "Illegal server found on ${IF}! Dropping him!"
       ${DROPPER} -i ${IF} ${LMAC} -y
   else
       echo "Illegal server not found on ${IF}."
   fi
done

echo "All done"


Выставляем права на чтение:
chmod 500 /usr/local/etc/rc.d/dhcdrop.sh

Прописываем в кронтаб системы для периодического запуска, в данном примере каждые 30 минут
ee /etc/crontab
0,30 * * * * /usr/local/etc/rc.d/dhcdrop.sh   #dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

[Unix]

А к ноудени есть модуль по управлению и мониторингу dhcpdrop ?

[stix]

А к ноудени есть модуль по управлению и мониторингу dhcpdrop ?

а смысл его в биллинге?
что он будет там выполнять

[versus]

ну как что, модуль к нодени будет просто стоить денег. Пожалуй на этом его функциональная обязанность заканчивается...

[Андрій]

в мене чомусь не може заблокувати один dhcp сервер в мережі, він видає по кругу одні й ті самі ір, якщо я не помиляюсь це роутер dir-300, з цим можна щось зробити ?

Код:

[root@localhost /etc]# sh dhcdrop.sh
Processing interface xl1
DHCP SRV: 192.168.4.22 (IP-hdr: 192.168.4.22) SRV ether: 00:24:01:AE:84:FB, YIP: 192.168.4.105
Illegal server found on xl1! Dropping him!
Using interface: 'xl1'
Got response from server 192.168.4.22 (IP-header 192.168.4.22), server ethernet address: 00:24:01:AE:84:FB, lease time: 0.017h (60s)
Got BOOTREPLY (DHCPOFFER) for client ether: 00:04:3C:98:15:F9 You IP: 192.168.4.107/24
1. Got BOOTREPLY (DHCPACK) for client ether: 00:04:3C:98:15:F9 You IP: 192.168.4.107/24
2. Got BOOTREPLY (DHCPACK) for client ether: 00:11:18:3A:C7:AF You IP: 192.168.4.104/24
3. Got BOOTREPLY (DHCPACK) for client ether: 00:DE:7A:94:34:7B You IP: 192.168.4.106/24
4. Got BOOTREPLY (DHCPACK) for client ether: 00:A2:F7:49:23:F8 You IP: 192.168.4.101/24
5. Got BOOTREPLY (DHCPACK) for client ether: 00:5D:B5:21:E8:D3 You IP: 192.168.4.103/24
6. Got BOOTREPLY (DHCPACK) for client ether: 00:81:0A:96:55:F5 You IP: 192.168.4.100/24
7. Got BOOTREPLY (DHCPACK) for client ether: 00:D2:1D:C8:EA:E4 You IP: 192.168.4.102/24
8. Got BOOTREPLY (DHCPACK) for client ether: 00:95:8C:CF:9B:3F You IP: 192.168.4.104/24
9. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:E4:DB:74:39 You IP: 192.168.4.105/24
10. Got BOOTREPLY (DHCPACK) for client ether: 00:A5:B3:88:1C:D3 You IP: 192.168.4.101/24
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
11. Got BOOTREPLY (DHCPACK) for client ether: 00:EA:79:8C:75:AE You IP: 192.168.4.103/24
12. Got BOOTREPLY (DHCPACK) for client ether: 00:35:9B:26:B8:98 You IP: 192.168.4.100/24
13. Got BOOTREPLY (DHCPACK) for client ether: 00:4B:1B:4A:CC:66 You IP: 192.168.4.102/24
14. Got BOOTREPLY (DHCPACK) for client ether: 00:F1:66:DF:CD:FE You IP: 192.168.4.104/24
15. Got BOOTREPLY (DHCPACK) for client ether: 00:D0:F7:10:EC:64 You IP: 192.168.4.105/24
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
16. Got BOOTREPLY (DHCPACK) for client ether: 00:5E:34:DD:6F:1B You IP: 192.168.4.101/24
17. Got BOOTREPLY (DHCPACK) for client ether: 00:71:E3:8F:B7:64 You IP: 192.168.4.103/24

[Elisium]

з цим можна щось зробити ?

При умном доступе - блокировать ДХЦП ответы на клиентских портах.
При тупом - если дхцпдроп не помогает, подьехать к клиенту и культурно дать в бубен на тему "вася - ты не прав".