Кондибас (kondybas) wrote in ru_root,
Кондибас
kondybas
ru_root

Непонятки с DD-WRT

Каким образом в свеженьком ДДВРТ можно сделать так, чтобы ДХЦП обслуживал запросы только из эфира, но не из проводной сети? При этом проводные и радио-интерфейсы объединены в бридж.

Фактически, это должен быть тупой свитч, он же спот, к которому может подключиться любой, получить адрес и попасть в сетку. Поскольку таких спотов будет несколько, дхцп их не должен быть виден за пределами радиоканала.

Пока что все попытки иптаблесами зарезать УДП 67-68 ничего не дали - через проводные ифейсы тестовая машина свободно получает адрес и прочее по ДХЦП.

Мне уже подсказали умное слово ebtables, но что с ним делать дальше...


УПД:
insmod ebtables
insmod ebtable_filter
insmod ebt_ip
ebtables -I INPUT -p IPv4 -i ! ra0 --ip-proto udp --ip-dport 67:68 -j DROP

Почему не один ДХЦП на всех:
сеть достаточно дикая, и в норме вообще не использующая дхцп. Студенты, однако. Разбираться, чей ящик выдал вот этот конкретный адрес данному конкретному клиенту, имел ли он на это право, и не завернул ли он весь клиентский траффик на свой бридж для сниффинга - дело безнадежное. Поэтому в норме дхцп нет вообще.

Почему все-таки нужен локальный ДХЦП.
Потому что контингент крайне ламерский, и обучать преподов прописыванию адресов-шлюзов - дело еще более безнадежное, чем ловля сетевых хулиганов. Чел пришел с ноутом, выбрал сеть из списка и работает.

Почему нужно эфирный ДХЦП изолировать от остальной сети, где подобных спотов будет стоять чуть менее, чем дохрена - объяснять, я думаю, излишне.
Subscribe

  • HP StorageWorks D2700

    парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где…

  • vmware player, beep!!!111

    кривой вопрос. а как запретить вмварь-плееру издавать любые звуки, чтоб при таб-таб-таб в виртуальном линухе оно не пищало? совет ссайта афтырей про…

  • dhcp

    а у вас на практике бывали сети, где было не порядка 256, а порядка 64к компов в одной подсети которым надо раздать ip адреса? я не про какой-нибудь…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 5 comments