sieci komputerowe - filtrowanie adresów ip w sieci lokalnej

pytanie zadane 12 grudnia 2019 w Sieci komputerowe, internet przez patrykkxdd Początkujący (310 p.)

Cześć wszystkim,

Mam pewien problem dla niektórych błachy a dla innych trudniejszy. Otóż mam w sieci przypuśćmy 13 komputerów i 10 drukarek dodam jeszcze że w sieci zakładamy że są kamery z własną siecią/podsiecią i są podłączone najpierw do dedykowanego switcha a poźniej switch jest podłączony do rutera, istnieją też niewykorzystane gniazdka RJ45 chciałbym uruchomić filtrowanie adresów IP tzn. że po podłączeniu nieznanego klienta do gniazdka RJ45 serwer DHCP przydzieli dynamiczny adres ip ale ruter program bądź inne urządzenie już np zablokuje dostęp do urządzeń w sieci tj komputery routery itd. Oczywiście administrator jeśli stwierdzi że urządzenie podłączone nie jest nieznane to będzie miał możliwość przywrócenia dostępu do wszystkiego. Coś na zasadzie Allow i Deny list. W Deny była by cała pula adresów ip jaką ma skonfigurowany serwer DHCP i po podłączeniu nowego urządzenia do sieci przypisał by ręcznie po uprzednim jego sprawdzeniu do listy Allow. Podejrzewam że skonfigurowanie allow access list w routerze by się nie sprawdził przy zmiennych końcówkach adresów ip ponadto było by sporo zachodu i roboty. Dlatego moje pytanie brzmi. Czy jest jakiś sposób zrobienia już takiej wspomnianej listy Allow i Deny gdzie w deny była by cała pula adresów i po wpisaniu konkretnych do allow nie miała by już zastosowania lista deny oczywiście do tych konkretnych adresów cała reszta nieprzydzielonych i "nieznanych" była by blokowana oraz czy była by możliwość skonfigurowania czegoś w taki sposób że jak okres dzierżawy adresu minie i dhcp przydzieli nowy a poprzedni zwolni czy wciąż była by opcja że komputer z listy allow pomimo zmiany adresu wciąż miał by dostęp. Wiem że w tym przypadku dobre by było rozwiązanie coś na zasadzie filtrowania adresów mac. W każdym bądź razie nie wiem jak to ugryźć czy jest może jakiś program oferujący takie dwie listy albo jakaś inna łatwiejsza w obsłudze opcja niż allow access list do skonfigurowania w jakimś urządzeniu sieciowym?

Z góry dziękuje za pomoc.

1 odpowiedź

odpowiedź 15 grudnia 2019 przez edwardkraweznik Dyskutant (9,930 p.)

Coś takiego można zrobić przy pomocy iptables

Czyli: aby zadziałało routerem musi być linux

Być może istnieją jakieś routery sprzętowe, które to potrafią(nigdy o takich nie słyszałem)

komentarz 18 grudnia 2019 przez patrykkxdd Początkujący (310 p.)

Być może istnieją jakieś routery sprzętowe, które to potrafią(nigdy o takich nie słyszałem)

A jakiś prostszy i pewniejszy sposób bez np konieczności wymiany routera? Istnieje coś takiego?

komentarz 18 grudnia 2019 przez edwardkraweznik Dyskutant (9,930 p.)

jedyny znany mi sposób to iptables. czyli router systemowy (maskarada iptables)

albo wpisane na stałe do routera ssprzętowego mac dresów wszystkiego co jest w sieci.

Tak czy siak mac adresów nie da się ominąć (na ich podstawie jest wszystko identyfikowane)iptables daje możliwość logowania a potem kombinowania co się w sieci dzieje. Wszystko zależy od pomysłowości programisty, który będzie pisał skrypt....

komentarz 22 grudnia 2019 przez patrykkxdd Początkujący (310 p.)

Ustawiłem ręcznie mac adresy w routerze które miały pobieranie adresów ip automatycznie z serwera dhcp (skonfigurowane ręczne adresy ip w np drukarkach czy innych urządzeniach sieciowych działają bez zarzutów) i skonfigurowałem dhcp że jak zostanie wykryty nieznany adres mac to ma nie przydzielać adresu a go blokować bo głównie o to mi chodziło że jak jakiś niechciany użytkownik podłączy się do gniazdka/switcha/wifi to żeby nic w sieci nie zdziałał. Nie widzę problemów z działaniem tego rozwiązania na razie jest okej zobaczymy po jakimś czasie czy spełnia moje oczekiwania oraz czy odpowiednio zabezpieczy niestrzeżone wolne gniazdka rj45. Dzięki za pomoc.