Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 07/03/2008, à 18:31

bcaulier

[Résolu] Serveur dhcpd3 en mode fixe

Bonjour,
J'ai installé un serveur DHCP ( mode dynamique) qui fonctionne bien grâce au tutoriel.
Comment configurer celui-ci pour allouer à toutes mes machines sur le réseau une adresse IP fixe précise et empêcher d'allouer une adresse IP à une machine pirate (ex: portable non autorisée sur le réseau).
Dans dhcpd.conf, j'ai bien assigner une IP statique à la machine avec leur adresse MAC :

host nom_machine {
  hardware ethernet adresse_mac;
  fixed-address adresse_ip;
}

Mais que faut-il modifier dans l'entête du fichier dhcpd.conf ou dans la section subnet ?
Merci.

Dernière modification par bcaulier (Le 24/02/2009, à 11:29)

Hors ligne

#2 Le 13/03/2008, à 18:23

Jahman

Re : [Résolu] Serveur dhcpd3 en mode fixe

Salut,

Pour attribuer une IP fixe DHCP, il faut que ta partie subnet ressemble grosso merdo à ca:

subnet 192.168.0.0 netmask 255.255.255.0 {
        authoritative;
        option routers 192.168.0.254;
        max-lease-time 172800 ;
        default-lease-time 172800;

        host poste01 {
                hardware ethernet 00:00:CB:AA:AA:AA ;
                fixed-address 192.168.0.100 ;
                }

}

A savoir qu'un filtrage sur les @ MAC à partir de ton serveur DHCP ne bloqueras aucune connexion pirate car:
- Une adresse mac peut se changer (sous linux commande "ifconifig eth0 hw ether AA:AA:AA:AA:AA:AA" et il suffit d'écouter le réseau pour en trouver une valide)
- On peut se connecter en configurant directement sa carte réseau en IP fixe.

Pour éviter les connexions pirates, il faut faire de la défense en profondeur (mettre le plus de barrières et de gardes possibles en fonction de tes besoins en sécurité par rapport à tes besoins en disponibilité)

Quelques idées en vrac:
1)Mettre en place un arp watch (logue les adresse MAC du sous-réseau et agir en conséquences)
2)Bloquer les adresses MAC par ports sur les switchs (pour éviter du Man-in-the-middle)
3)Mettre du DHCP Snooping (pour éviter les serveurs DHCP pirates)
4)Mettre un pont filtrant (Firewall de niveau 2) entre le routeur et le LAN
5)Mettre des certificats sur tes clients et serveurs

Voila, il y a évidemment beaucoup d'autres techniques à mettre en place.

Si c'est pour du Wifi, ma recommandation serait IPSEC plus serveur radius ou portail captif

Dernière modification par Jahman (Le 13/03/2008, à 18:28)

Sous les octets, la plage

Hors ligne

Pages : 1