[MASOCH-L] Bloqueio de DHCP na rede.
Jeronimo Bezerra
jab at ufba.br
Tue Jul 26 17:26:03 -03 2011
Fabio,
independente do switch, se este for gerenciável, você pode usar ACLs. A
comunicação entre cliente DHCP e servidor DHCP se dá entre as portas 67
e 68, então você pode bloquear as respostas que vierem de portas não
autorizadas.
O cliente manda da porta 68 para a porta 67 (UDP). O que você pode fazer
é bloquear o retorno (67->68) em todas as portas que não a do servidor
DHCP.
Consegui ser claro? Essa solução é boa por ser genérica, e todo switch
que conheço (ou lembro) suporta acl l4. O DHCP Snooping faz algo similar.
Jeronimo
Em 26/07/2011 16:07, Fabio Catunda escreveu:
> Rafael,
>
> Obrigado pela resposta.
>
> A droga é que esse modelo de switch não tem nada de dhcp snooping, a
> única coisa que encontrei de DHCP é dhcp_relay, mas não me parece bem
> ser o que preciso pelo que andei lendo.
>
> O modelo que passei é da D-Link.
>
> Grato,
>
> Fábio Catunda.
>
>
>
> On 26-07-2011 15:46, Rafael Henrique Faria wrote:
>> 2011/7/26 Fabio Catunda<fcatunda at lightcomm.com.br>:
>>
>>> Caros,
>>>
>>> Gostariamos de implementar alguma forma de não ser possível haver
>>> mais de um
>>> servidor DHCP na rede. Atualmente temos um Debian fazendo o papel de
>>> roteador, firewall e DHCP para uma rede de mais ou menos 150
>>> usuários, o
>>> problema é que todo dia alguém tem a brilhante ideia de colocar um
>>> roteador
>>> wireless na mesa pra... pra... bem, não me pergutem pra que, mas
>>> todo mundo
>>> quer um benedito de um roteador wirelessa na mesa.
>>> A questão é que isso nos gera um bom trabalho pra ficar buscando
>>> quem é o
>>> tal roteador que também fica oferecendo DHCP na rede.
>>>
>>> Eu gostaria de saber se existe algo que possa ser feito diretamente nos
>>> switches, atualmente a maioria dos switches de acesso por aqui são
>>> DES-3526
>>> ou similar. Não gostaria de fazer nada no firewall pois isso não
>>> impediria
>>> que o DHCP do roteador funcionasse, simplesmente impediria que o
>>> usuário
>>> navegasse pelo roteador, o que não resolve totalmente o problema.
>>>
>>> Agradeço qualquer dica.
>>>
>>> Grato,
>>>
>>> Fábio Catunda.
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>> Boa tarde Fabio.
>>
>> Isso vai depender se o seu switch tem recursos para realizar tal
>> bloqueio. Eu não conheço o DES-3526, porem tenho utilizado 3Com
>> 4500/4800, que suportam o DHCP-Snooping-Trust. Com isso você consegue
>> dizer para o switch de qual portal ele pode permitir que pacotes de
>> DHCP passem.
>>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list