Linux:当用户具有静态定义的IP地址时,禁止访问网络

前端之家收集整理的这篇文章主要介绍了Linux:当用户具有静态定义的IP地址时,禁止访问网络前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的网络中,我运行dhcpd3设置只为特定的MAC地址分配IP地址.它工作得很好,我甚至将它与bind9集成在一起,自动创建带有自定义TLD的直接和反向DNS主机名.

但有一件事我还没想到:如果用户在他的机器上设置静态IP,他将可以访问网络.使用iptables过滤不在dhcpd3指定范围内的IP地址也没有多大帮助,因为如果IP地址为192.168.0.20的用户不在办公室,则该IP地址仍然在允许列表中.当他插上电脑时,我们会遇到重复地址等问题.

dhcpd3(或其他一些DHCP服务器)运行调用iptables解锁地址的外部脚本的解决方案非常好,但我找不到那样做的DHCP服务器.

我考虑过使用带有RADIUS的802.1X,但是网络上有一些不支持它的打印机和IP电话,所以我需要告诉交换机某些端口不会使用802.1X.这打开了一个洞,他们可以在网络上添加小型8端口交换机并将其机器插入其中.此外,IP电话具有嵌入式2端口交换机.

我知道有一种称为RADA的东西,你允许特定的MAC地址来启动RADIUS身份验证,但是我的交换机不能不幸地支持它.

我真的没有关于这个的想法.也许这是一个非常简单和优雅的解决方案,但我真的找不到自己.

解决方法

你不能在IP层面做到这一点;如果用户将其计算机配置为具有有效的地址/掩码,则它将能够访问您的网络.这里唯一的选择是过滤MAC级别的访问,因此只允许属于您信任的计算机(或设备)的以太网卡. 802.1x确实是最好的解决方案.

猜你在找的Linux相关文章