Chinaunix

标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！ [打印本页]

作者: nmgzw 时间: 2003-11-11 10:41
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
我想在网关上同时建立一个dhcp服务器，我怎么能使得居域网里的机子只能通过dhcp动态获得地址！
dhcp能实现这个功能吗？

作者: 好好先生 时间: 2003-11-11 10:50
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
dhcp服务器实现不了,但客户机只有root用户才能更改IP.你可以限制root密码,只给用户提供用户密码.

作者: platinum 时间: 2003-11-11 10:52
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

作者: 好好先生 时间: 2003-11-11 10:54
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！

原帖由 "platinum" 发表：
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

高!

作者: q1208c 时间: 2003-11-11 11:52
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！

原帖由 "platinum" 发表：
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

也不行的，要是他们知道了对应关系，就可以改啦！连MAC都改了呀！

作者: platinum 时间: 2003-11-11 12:01
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
呵呵，如果下面的员工有那本事的话，恐怕调服务器的事情就不是楼主要干的了^O^

作者: q1208c 时间: 2003-11-11 12:09
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
也对。但总还是有点问题呀！
我还想不出有什么办法来完成楼主的要求呢。

作者: q1208c 时间: 2003-11-11 12:10
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
可不可以在route上加静态ARP呀！那样，就可能会好一点。不过，要是大家都会改MAC，那也没办法了。

作者: beansprouts1981 时间: 2003-11-11 12:14
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
拔掉网线……

作者: nmgzw 时间: 2003-11-11 12:26
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
但电信是怎么实现的呢？比方我拨号上网，他是通过dhcp分配的么？

我现在分两段ip,一段是常可以上网的，另一段是固定时间可以上网的；我不想让不可以上网的知道可以上网的ip后,他们就可以把他的ip改成可上网ip里的一个地址了！

怎么实现呢？？

作者: q1208c 时间: 2003-11-11 12:29
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
电信用的是点对点，也就是只有这个ip能用，而且每次都随机分配。所以，你设了也不能用。

要是windows的客户机，在dhcp里用MAC绑定就行了。

作者: nmgzw 时间: 2003-11-11 12:40
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
好，谢谢大家！

作者: 135bb 时间: 2003-12-19 12:42
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
nmgzw 大哥, 请问你如何用dhcp设置双子网的啊
是不是双网卡.
如192.168.2.0
192.168.3.0

能不能贴个配置文件看看.

作者: coffee_45 时间: 2005-05-31 09:25
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！

原帖由 "platinum" 发表：
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

这样做很好，我试过的，首先，用网关做DHCP，例如只分配1－100网段，然后用iptables设置允许1－100的ip可以上网。另外，给老板们设置mac绑定ip方式。

作者: abc3w 时间: 2005-05-31 10:18
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！
使用代理，IP加MAC加用户名加密码

作者: chenzq1604 时间: 2005-05-31 11:26
标题: 急，我怎么限制局域网的机子只能通过dhcp获得ip地址（在线等）！

原帖由 "platinum" 发表：
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

哈哈，再加上更绝的，用交换机把端口和mac绑定，现在内网的IP和mac都改不了

作者: waiwainiu 时间: 2006-01-05 19:27
标题: 唉,看到在个问题,我马上想起我面试的
唉,看到在个问题,我马上想起我面试的时候,那个人就是问的我在个问题,我的想法就是用ARP绑定MAC和IP!!!!!!
可惜,我好像答错了 !!!老板没要我 !!:<

作者: hongzjx 时间: 2006-01-06 14:21

原帖由 platinum 于 2003-11-11 12:01 发表
呵呵，如果下面的员工有那本事的话，恐怕调服务器的事情就不是楼主要干的了^O^

这话说得有意思儿:em12:

作者: polo7111 时间: 2006-01-06 16:48
绑定mac和ip是不得已的方法，而且如果是大型的公司，每个员工的mac都要统计，工作量不小。所以一般的老板都不会对这个方案很满意的。

作者: runsnake 时间: 2006-01-06 20:04
什么都没有用的,随便用个象NMAP之类探查一下局域网, 有了别人的IP和MAC, 什么绑定都没有, 直接改IP,改MAC
那就看谁能够抢IP上网了.

尽瞎整没用的东西

作者: rcazy 时间: 2006-01-07 09:22
这样的方法都不好改吧,最好还是让上网的用户设成要拔号到服务器才能上吧,那样让他们去改IP吧,看他改了也不能上吧

作者: llzqq 时间: 2006-01-07 10:52
1。hack windows不能手动添加IP，只能自动获取IP。
2。行政措施配合，谁手动指定了IP扣当月工资。
3。从dhcp的日志中观察谁分配了那个IP。
4。写个教本从dhcp的日志中取出IP地址加到iptables规则中，使其能上网。

我想这几条够用了，尤其是2有效。

作者: 100000 时间: 2006-03-18 10:46

原帖由 chenzq1604 于 2005-5-31 11:26 发表

哈哈，再加上更绝的，用交换机把端口和mac绑定，现在内网的IP和mac都改不了

只要交换机支持这种功能，甚至可以交换机端口绑定ip，mac。这样就简单了。

作者: 100000 时间: 2006-03-18 10:48
老板肯出钱，上支持802.1x的交换机。

作者: jim0769 时间: 2006-03-23 20:59
学习顶

作者: tudoujason 时间: 2006-03-24 10:24
现在的新的交换机都可以实现，把交换机的端口和IP地址以及MAC地址捆绑在一起,这样他们随便怎么改都没有用的,问题就是维护量会比较大一点

作者: wikingki 时间: 2006-03-24 11:56

原帖由 platinum 于 2003-11-11 10:52 发表
这样行不行，DHCP做成绑定MAC那种
然后iptables里把IP和MAC进行匹配，只有合乎要求的才能NAT出去

呵呵，让他们改去，随便改，就是不能上网，看他们还改不改了 ^O^

听着很好，不知道能不能说的详细些。关注中

作者: repol 时间: 2006-03-24 12:20
简单哟,用两个交换机吧,分成两个段,或做成VLAN,但是不做路由,或写一条脚本,什么时候启动路由,什么时候不启动,那个VLAN路由,那个不路由

应该会好点,个人见意,实现难,没测试

作者: floodbycn 时间: 2006-03-24 13:10
先绑定了ＭＡＣ再说　要是人家弄了你在换个别招被

作者: wikingki 时间: 2006-03-26 18:20

原帖由 runsnake 于 2006-1-6 20:04 发表
什么都没有用的,随便用个象NMAP之类探查一下局域网, 有了别人的IP和MAC, 什么绑定都没有, 直接改IP,改MAC
那就看谁能够抢IP上网了.

尽瞎整没用的东西

是不是极端了点？

作者: 风流涕淌 时间: 2006-06-19 13:45
这个问题没有什么太好的办法，行政才是王道

作者: rickyfang 时间: 2006-06-19 14:46
就用MAC与IP的绑定,然后,用-A PREROUTING 来设定这些只有这些IP能ACCEPT就行了.

考,再不行,就要采用技术了,用行政的手段,发现一个,杀一个,看谁还敢!!!

技术和行政相结合,才是最好的管理!!!!!!!!

作者: shengshuai 时间: 2010-01-03 14:38
这不是 DHCP 问题，可以允许一个网络只用手动设置地址不启用ＤＨＣＰ，但是不允许手动设置地址而只用ＤＨＣＰ则不行。

不过这个用什么意义呢？　

如果那样的话，只能配置用户上网的时候拨号到服务器了，像小区宽带一样。

作者: blueswxs 时间: 2010-01-04 14:07
网关假设PPPOE服务器即可，只允许拨号上来的人上网。其他一律禁止通讯。

我公司就是这么限制的，不管你改什么MAC、IP的，按连接说话，人手一帐号。

作者: caoshaocong 时间: 2010-01-21 18:30
标题: 回复 #34 blueswxs 的帖子
账号被盗取咋办啊

作者: blueswxs 时间: 2010-01-21 23:03

原帖由 caoshaocong 于 2010-1-21 18:30 发表
账号被盗取咋办啊

如果被盗取，一经发现随时可以在服务器作废此账号，然后断开此PPPOE链接。另外还可以限制账号同时使用次数。比如1次，这样客户一旦发现自己无法拨号，就可以马上通知管理员。

偶同事搭建的：
http://bbs.chinaunix.net/viewthread.php?tid=1450386

作者: leonjq 时间: 2010-03-03 13:55
其实，LZ的问题解决起来很简单，大概的轮廓是这样，子网DHCP+VLAN+IPTABLES就可以了。

作者: GrayChan_cu 时间: 2010-03-03 22:21
以前有人给我推荐过聚生网管，扯淡了

作者: snow3403869 时间: 2010-03-05 17:16
PPPOE

作者: westgo 时间: 2010-03-07 00:34
访问列表加时限的象前面说的用MAC地址做访问列表

作者: woodwalker 时间: 2010-03-16 20:31
dhcpsnooping ＋根据mac获取地址的dhcp服务器

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)