laster
Apr 01, 2020
view7190
view7
0
Goto Top

Im ISC DHCP Server bestimmte MAC Adressen blockieren

GermansolvedQuestionNetwork ManagementNetworks
Hallo,

habe einen ISC DHCP Server (auf raspberry) laufen.
Nun möchte ich verhindern, dass ein bestimmter Host (MAC-Adresse bekannt) keine IP-Adresse zugewiesen bekommt.
Die Anfrage soll ignoriert werden.

Gefunden habe ich 
class "ignored" {  
  match if substring(hardware,1,4) = 00:02;
}

pool {
  deny members of "ignored";  
  range 192.168.172.100 192.168.172.149;
}
Allerdings finde ich in den Manual Pages nur allow members wo dann auch die Angabe range Sinn macht.
Ein ignore booting wäre doch besser?

Wie kann ich das lösen?

vG
LS
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 562347

Url: https://administrator.de/contentid/562347

Printed on: April 26, 2024 at 11:04 o'clock

7 Comments
Latest comment
Goto Top
Member: aqui
aqui Apr 01, 2020 at 09:49:53 (UTC)
Goto Top
Gefunden habe ich
Klingt ja auch plausibel !
Hast du es denn mal ausprobiert ? Wenn ja, wie ist das Ergebnis ?
Member: NordicMike
NordicMike Apr 01, 2020 at 09:57:55 (UTC)
Goto Top
deny member of class oder ignore member of class ist schon richtig. Statt der Range kannst Du auch die komplette MAC deklarieren.
Member: laster
laster Apr 01, 2020 at 10:40:21 (UTC)
Goto Top
Hallo Aqui,

folgende konfig in dhcpd.conf:
...
class "ignore-mac" {  
  match if substring (hardware,1,8) = "68:5d:43";   
  #match if hardware = "68:5d:43:8f:ab:bf"; 
}

subnet 192.168.54.0 netmask 255.255.255.0 {
  range 192.168.54.11 192.168.54.99;
  option routers 192.168.54.10;
  option subnet-mask 255.255.255.0;

  #pool {
  #  ignore members of "ignore-mac"; 
  #  range 192.168.54.221 192.168.54.229;
  #}
}

wenn ich den Bereich pool aktiviere bekomme ich beim Start des Services einen Error "Configuration file errors encountered -- exiting" ohne nähere Hinweise.
Wobei mir nicht klar ist, wozu der range innerhalb von pool gut sein soll (will ja keine IP zuteilen).
Member: kaalax
kaalax Apr 08, 2020 at 10:31:45 (UTC)
Goto Top
Hallo laster,

mit dem ISC habe ich auch schon viel Zeit mit "Suchen und Probieren" verbracht. Ich erinnere mich an Probleme beim Mitgeben diverser (Boot)Optionen.
Ich möchte den ISC nicht schlecht reden aber face-smile mit dnsmasq bin ich schneller ans Ziel gekommen. Falls Du eine andere Software einsetzen kannst, möchte ich Dir diese empfehlen.
Eine Lösung mit dnsmasq für Deine Frage findest Du hier: https://discourse.pi-hole.net/t/dhcp-server-mac-address-filtering/19310

Grüße, kaalax
Member: laster
laster Apr 08, 2020 at 10:40:14 (UTC)
Goto Top
Hallo kaalax,

danke für den Tip, schau ich mir an.

vG
LS
Member: aqui
Solution aqui Apr 08, 2020 updated at 13:06:05 (UTC)
Goto Top
Wobei mir nicht klar ist, wozu der range innerhalb von pool gut sein soll (will ja keine IP zuteilen).
Leuchtet mir auch nicht ein da der ja schon definiert ist.

Probier es doch einmal mit einer ganz einfachen Lösung wenn es nur eine Mac Adresse ist: 
host "Du nicht" {
hardware ethernet 00:12:ba:1d:c1:b7;
ignore booting;
 }
Funktioniert hier fehlerlos auf einem RasPi als DHCP Server.
Ein anderes Beispiel ging noch so: 
class "Keine-Mac" {
match substring (hardware, 1, 6);
# deny booting;
 ignore booting;
}
subclass "Keine-Mac" 00:12:ba:1d:c1:b7;
subclass "Keine-Mac" 00:12:df:b6:7b:e7;
Wenn man "ignore booting" auskommentiert und "deny booting" aktiviert sendet der Server DHCPNAK (IIRC) an den Client statt ihn ganz zu ignorieren.
Das sollte auch in der Kurzform oben im Code Block funktionieren. (Wireshark ist dein Freund)
Auch diese Version klappte hier im Test fehlerfrei und ist etwas skalierbarer bei mehr Mac Adressen.
Member: laster
laster Apr 15, 2020 at 11:46:46 (UTC)
Goto Top
Hallo Aqui,

die ganz einfache Lösung (da nur eine MAC) funktioniert sehr gut.

Vielen Dank und Grüße
LS
GermansolvedQuestionNetwork ManagementNetworks