locked
Service DHCP - Exclure suivant @MAC RRS feed

  • Question

  • Bonjour,

     

    Je me retrouve confronté à un problème d'architecture réseaux.

    Pour contourner le problème, je voudrait mettre en place une politique DHCP me permettant de refuser l'accès au services DHCP à certain Device (via l'adresse MAC) de mon réseau.
    Or, je ne trouve pas d'option me permettant d'aller dans ce sens.

    Je suis avec SBS 2003, et SBS se charge du service DHCP.

    Pourriez-vous m'aider ?

    Cordialement,

     

     

    Cédrik

    lundi 25 février 2008 14:46

Réponses

  •  

    Tu ne peux pas faire de filtrage MAC au niveau de ton serveur DHCP.

     

    Tu pourrais eventuellement le faire via un élément réseau (switch, pare-feu) mais pas via ton DHCP.

     

    Au niveau du DHCP tu peux par contre définir des réservations en fonction des adresses MAC et ainsi délivré telle ou telle option suivant l'adresse MAC spécifiée par le client

    lundi 25 février 2008 15:00
  • Bonjour,

     

    si l'on veut filtrer par adresse Mac, la seule solution est de définir autant de réservation que de machines clientes !

    Toutes les autres adresses seront mises en exclusion...

    => De nombreux réseaux d'entreprise sont "faussement" sécurisés comme cela.

     

    J'ai créé une petite application (vbscript) qui gère la création d'une étendue, puis l'exclusion de chaque adresse (une par une).

    Ensuite, pour chaque machine à intégrer, l'application supprime une exclusion, crée une réservation à partir de l'adresse Mac de la machine.

     

    Si tu as une configuration particulière à appliquer à un groupe de machine, il est possible de gérer la notion de "classes" !

     

    1) Dans l'administration de DHCP, bouton droit sur le serveur et "définir les classes des utilisateurs"

    => définir un nom comme "portable" puis une valeur spécifique en binaire (64 65 6d 61 6e pour "deman")

     

    2) Dans les propriétés de l'étendue, "paramètres avancés", sélectionner votre nouvelle classe, puis affecter les options particulières souhaitées.

     

    3) Au niveau du poste client, affecter la classe

     

    ipconfig /setclassid "LAN" deman

     

    Par exemple, si cette classe est définie sur toutes les stations de l'entreprise, mais pas sur une station pirate, celle-ci n'aura pas la même configuration.

     

    A bientôt,

     

     

    mercredi 27 février 2008 09:58

Toutes les réponses

  •  

    Tu ne peux pas faire de filtrage MAC au niveau de ton serveur DHCP.

     

    Tu pourrais eventuellement le faire via un élément réseau (switch, pare-feu) mais pas via ton DHCP.

     

    Au niveau du DHCP tu peux par contre définir des réservations en fonction des adresses MAC et ainsi délivré telle ou telle option suivant l'adresse MAC spécifiée par le client

    lundi 25 février 2008 15:00
  • Aie, c'est dommage !

    Je pense que je vais me retourner vers mon prestataire pour connaitre les adresses IP logiquement délivré par leur routeur pour les téléphones et réaliser une reservation en des adresses mac et délivré les option qui vont bien !

    Merci pour ton aide !

    lundi 25 février 2008 15:17
  • Bonjour,

    Je suis a peut pres dans le meme cas que Cedrik,

    Je souhaite configurer mon server DHCP (sur WD2K3 server) de la manière suivante :

     - si l'@ MAC est connu , on lu iaffecte l'adresse ip qui correspond (jusqu'à là ok)
     - si l'@ MAC est inconnu , je souhaite quand meme affecter une @ip qui sera celle d'un VLAN temporaire le temps de clarifier la situation.

    Dans le cas où une nouvelle machine arrive sur mon parc informatique, je souhaite donc qu'elle recoivent tout de même une adresse IP par defaut dans une palge d'adresse reservé a cette effet. Une sorte de plage d'adresse temporaire.

    Suis-je assez clair ?

    Merci
    mercredi 27 février 2008 08:17
  • mercredi 27 février 2008 09:18
  • re ,

    j'ai trouvé sous linux :


    on voit ici :
    http://www.southwestern.edu/ITS/netreg/SysAdmin/a3_f1.gif


    c'est une configuration sous linux permettant d'affecter une configuration pour les adresses MAC inconnues. Je souhaiterais configurer ceci sous windows server 2003


    j'ai pas du etre assez clair , ton lien me redirige vers une doc de windows server 2008

    Merci
    mercredi 27 février 2008 09:34
  • Bonjour,

     

    si l'on veut filtrer par adresse Mac, la seule solution est de définir autant de réservation que de machines clientes !

    Toutes les autres adresses seront mises en exclusion...

    => De nombreux réseaux d'entreprise sont "faussement" sécurisés comme cela.

     

    J'ai créé une petite application (vbscript) qui gère la création d'une étendue, puis l'exclusion de chaque adresse (une par une).

    Ensuite, pour chaque machine à intégrer, l'application supprime une exclusion, crée une réservation à partir de l'adresse Mac de la machine.

     

    Si tu as une configuration particulière à appliquer à un groupe de machine, il est possible de gérer la notion de "classes" !

     

    1) Dans l'administration de DHCP, bouton droit sur le serveur et "définir les classes des utilisateurs"

    => définir un nom comme "portable" puis une valeur spécifique en binaire (64 65 6d 61 6e pour "deman")

     

    2) Dans les propriétés de l'étendue, "paramètres avancés", sélectionner votre nouvelle classe, puis affecter les options particulières souhaitées.

     

    3) Au niveau du poste client, affecter la classe

     

    ipconfig /setclassid "LAN" deman

     

    Par exemple, si cette classe est définie sur toutes les stations de l'entreprise, mais pas sur une station pirate, celle-ci n'aura pas la même configuration.

     

    A bientôt,

     

     

    mercredi 27 février 2008 09:58
  • bonjour, 

    J'ai également crée un vbscript qui fait les meme fonctions que le tien : l'affectation d'une adresse ip en fonction de son adresse mac, avec scope exlu + reservation, notamenet des fonctions de "netsh". DHCP reservé.

    donc mon DHCP possède une liste de couple MAC-IP.

    Maintenant, si une station emet des requetes DHCP et que cette adresse MAC est pas répertoriée dans la liste couple MAC-IP, que fait le server DHCP ? Je souhaiterais que le server DHCP attribue une configuration particulière comme l'affectation d'une ip et d'une passerelle d'un VLAN "poubelle". Le temps que la personne m'appel et m'explique ce qu'il veut, je basculerai alors cette machine dans le VLAN correspondant. En fait, je souhaite maitriser les adresse MAC inconnues.

    [edit] "les options particulières souhaitées." quelles sont-elles pour des adresse mac inconnues ?

    Merci
    mercredi 27 février 2008 10:11
  • L'étendue ne comporte que des réservations, et tout le reste en exclusion, la station supplémentaire ne recevra pas d'adresse IP. Le serveur DHCP lui enverra un signal "Complet" (NAQ).

     

    On peut imaginer gérer une étendue avec uniquement les réservations (telle que vue au dessus), puis créer une autre étendue sur un adressage IP différent pour recevoir toutes les machines inconnues.

    => Le serveur DHCP devra avoir une 2ème adresse IP (qui peut être associée à la même carte) pour ce 2ème réseau.

     

    A bientôt,

    mercredi 27 février 2008 10:21
  • apres diférents tests voici ce que j'ai configuré

    J'ai au préalable 2 VLANs :

    - vlan normal : 192.168.0.1 /24
    - vlan poubelle : 192.168.0.100 /24 secondary

    Mon serv DHCP se trouvant sur un autre vlan.

    sur mon server DHCP :

    Scope de 192.168.0.1 --> 192.168.0.255
    Excluded range : 192.168.0.1 --> 192.168.0.99

    Mes machines, dont je connais les adresse mac :

    add reservation : 00:00:xx:xx:xx:xx --> 192.168.0.5    //par exemple


    Une machine dont je ne connais pas l'adresse MAC ne pourra pas avoir d'adresse dans mon vlan normal puisque le scope exlu toute les adresses de ce vlan.

    une adresse de 192.168.0.100 a 192.168.0.254 lui sera affecté et donc sera dans le vlan "poubelle"

    avec cette méthose, la configuration de la passerelle par defaut, du DNS, du WINS etc ... est forcement la meme pour tous le scope ? ou peut -on modifier ces valeurs pour ma range d'adresse exclu ? je pense que non.

    En tous cas, mes machines dont l'adresse n'est pas connu se trouve dans le subnets "poubelle"

    Merci
    mercredi 27 février 2008 10:47
  • En fait, je pensais à une étendue différente, par exemple en 192.168.1.X

    => tu pourrais alors définir une configuration de DNS, de routeurs, etc... différente pour cette étendue.

    A+

    • Proposé comme réponse Pierre JOUBERT vendredi 6 février 2009 07:27
    mercredi 27 février 2008 20:52
  •  

    Bonjour,

     

    pourrais-tu créer ton propre topic s'il te plait ?

    Cela permettra une meilleure visibilité et un meilleur suivi des problèmes.

     

    Merci

    mardi 27 janvier 2009 09:06