[MASOCH-L] Bloqueio de DHCP na rede.
Fabio Catunda
fcatunda at lightcomm.com.br
Wed Jul 27 23:36:46 -03 2011
Jeronimo,
Obrigado pela dica simples e eficiente, funcionou muito bem.
Esse modelo de switch é bem estranhinho para criar ACL, mas acabou
funcionando depois de apanhar um pouco.
Grato,
Fábio Catunda.
On 26-07-2011 17:26, Jeronimo Bezerra wrote:
> Fabio,
>
> independente do switch, se este for gerenciável, você pode usar ACLs. A
> comunicação entre cliente DHCP e servidor DHCP se dá entre as portas 67
> e 68, então você pode bloquear as respostas que vierem de portas não
> autorizadas.
>
> O cliente manda da porta 68 para a porta 67 (UDP). O que você pode fazer
> é bloquear o retorno (67->68) em todas as portas que não a do servidor
> DHCP.
>
> Consegui ser claro? Essa solução é boa por ser genérica, e todo switch
> que conheço (ou lembro) suporta acl l4. O DHCP Snooping faz algo similar.
>
> Jeronimo
>
> Em 26/07/2011 16:07, Fabio Catunda escreveu:
>
>> Rafael,
>>
>> Obrigado pela resposta.
>>
>> A droga é que esse modelo de switch não tem nada de dhcp snooping, a
>> única coisa que encontrei de DHCP é dhcp_relay, mas não me parece bem
>> ser o que preciso pelo que andei lendo.
>>
>> O modelo que passei é da D-Link.
>>
>> Grato,
>>
>> Fábio Catunda.
>>
>>
>>
>> On 26-07-2011 15:46, Rafael Henrique Faria wrote:
>>
>>> 2011/7/26 Fabio Catunda<fcatunda at lightcomm.com.br>:
>>>
>>>
>>>> Caros,
>>>>
>>>> Gostariamos de implementar alguma forma de não ser possível haver
>>>> mais de um
>>>> servidor DHCP na rede. Atualmente temos um Debian fazendo o papel de
>>>> roteador, firewall e DHCP para uma rede de mais ou menos 150
>>>> usuários, o
>>>> problema é que todo dia alguém tem a brilhante ideia de colocar um
>>>> roteador
>>>> wireless na mesa pra... pra... bem, não me pergutem pra que, mas
>>>> todo mundo
>>>> quer um benedito de um roteador wirelessa na mesa.
>>>> A questão é que isso nos gera um bom trabalho pra ficar buscando
>>>> quem é o
>>>> tal roteador que também fica oferecendo DHCP na rede.
>>>>
>>>> Eu gostaria de saber se existe algo que possa ser feito diretamente nos
>>>> switches, atualmente a maioria dos switches de acesso por aqui são
>>>> DES-3526
>>>> ou similar. Não gostaria de fazer nada no firewall pois isso não
>>>> impediria
>>>> que o DHCP do roteador funcionasse, simplesmente impediria que o
>>>> usuário
>>>> navegasse pelo roteador, o que não resolve totalmente o problema.
>>>>
>>>> Agradeço qualquer dica.
>>>>
>>>> Grato,
>>>>
>>>> Fábio Catunda.
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>
>>>>
>>> Boa tarde Fabio.
>>>
>>> Isso vai depender se o seu switch tem recursos para realizar tal
>>> bloqueio. Eu não conheço o DES-3526, porem tenho utilizado 3Com
>>> 4500/4800, que suportam o DHCP-Snooping-Trust. Com isso você consegue
>>> dizer para o switch de qual portal ele pode permitir que pacotes de
>>> DHCP passem.
>>>
>>>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list