Povolení adres pouze z LEASES

[Pan X]

Ahoj,

doufám, že se správně vyjádřím.

Mám MKT, který NATuje a je na něm zapnutý DHCP server a přiděluje adresy pouze staticky.

Potřeboval bych poradit jak udělat, aby MKT dropnul všechny požadavky od zařízeních, které nejsou v LEASES zadány mnou.

Pro upřesnění, nastavím třeba na ether2 aby přiděloval staticky zadaným (MAC) adresám adresy v rozsahu 192.168.10.0/24. Takže pro příklad do LEASES nastavím MAC mého PC (např. 4C:5E:0C:74:9E:F5), aby dostal po připojení kabelu adresu třeba 192.168.10.10, to se tak samozřejmě po připojení PC do ether2 stane.

Problém nastává ve chvili, když bych tam připojil jiné zařízení, které dynamickou samozřejmě nedostane (protože není mnou založen v LEASES), ale ve chvíli, kdy mu nastavím statickou adresu ve výše zmíněném rozsahu, budu na internetu.

Potřebuji zkrátka povolit pouze zařízení, které manuálně zadám do LEASES, ostatní drop.

[mirek.k]

Nic automatického mě nenapadá. Jen jeden manuální krok navíc - přidat IP do adres listu.
Mirek

[mladas]

Udělej pool který dostanou "cizí" zařízení a ten dropni

[mirek.k]

To neřeší staticky zadané adresy.
Mirek

[Invia]

V DHCP-serveru zapni položku add arp for leases. A na interface, na kterém běží ten DHCP-server změň položku arp na reply-only

[Sidi]

To neřeší staticky zadané adresy.
Mirek

Podle mě ano. Pool dropneš a co nechceš dropnout, tomu v leases přidělíš statickou IP mimo daný pool (případně i jiný subnet ...).

Já neřeším dropování, ale mám takhle řešení doma QoS - DHCP jede omezeně, vybraným PC (NAS, server, ...) udělám v DHCP statickej záznam a ten je z rozsahu s vyšší prioritou.

[mirek.k]

To neřeší staticky zadané adresy.
Mirek

Podle mě ano. Pool dropneš a co nechceš dropnout, tomu v leases přidělíš statickou IP mimo daný pool (případně i jiný subnet ...).

Já neřeším dropování, ale mám takhle řešení doma QoS - DHCP jede omezeně, vybraným PC (NAS, server, ...) udělám v DHCP statickej záznam a ten je z rozsahu s vyšší prioritou.

Staticky myslím natvrdo v PC, ne DHCP dle MAC.
Mirek

[peto232]

/ip dhcp-server lease add address=1.2.3.4 address-lists=dhcp mac-address=AA:BB:CC:DD:EE:FF
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=accept chain=forward src-address-list=dhcp
/ip firewall filter add action=drop chain=forward

do address-listu dhcp sa prida aktivny lease (realne aktivny, nie len nakonfigurovany staticky lease), vo firewalle potom povolujes iba to, zo je v address-liste dhcp a zbytok drop

[ludvik]

Co je špatného na radě od Invia?

[hocimin1]

1)timto odstranis kdyby si nekdo chtel nastavit adresu rucne a nebral ji z DHCP: V DHCP-serveru zapni položku add arp for leases. A na interface, na kterém běží ten DHCP-server změň položku arp na reply-only

2) aby ti fungovali pouze jenom adresy z lease, tak staci v dhcp serveru misto poolu nastavit STATIC-ONLY. Pak prideli dhcp adresu pouze tem strojum, ktere jsou v lease (ktere si tam zadal).