Jak znemožnit získání IP adresy od DHCP serveru

Dobrý den,
chtěl bych se zeptat, jak nastavit pravidlo, které mi znemožní získat ip adresu od DHCP servru ( tím se odpojit ze sitě WAN, ale nedostanu adresu DHCP)?

Dotazu není moc rozumět. Ty chceš zakázat IP přidělenou od internet providera a tím se odpojit router od internetu ? Nebo chceš některé jen stanici LAN přidělit lokální IP, umožnit přístup do LAN, ale zakázat jí internet ?

Jen znemožnit získat ip adresu od DHCP

Furt hrozne spatne formulovanej dotaz … nechapu ceho se snazis docilit

Já si myslím, že chce nastavit DHCP tak aby přiděloval adresy jen pro specifické stroje, tedy něco filtr mac adres.

Prvně jak je toho možné docílit. Je nutné vypnout volbu dynamicdhcp v konfiguraci dhcp (nenašel jsem to v Luci takže je nutné jít přes ssh). A musíte si nastavit static leases (česky asi dhcp zápůjčky) pro všechny stroje které mají adresu dostat.

Teď k tomu proč je to špatný přístup. Tohle jen virtuální ochrana. Kdokoliv kdo zjistí rozsah který turris routuje si může nastavit adresu z toho rozsahu a má na vaši síť přístup. Je tedy nutné toto spojit ještě s pravidly ve firewallu a routovat tak jen packety s danou mac adresou. Ale ani to není dokonalé, protože kdokoliv kdo se připojí na vaši síť si může tyto packety odposlechnout a později si nastavit danou mac adresu a tím mít zase plný přístup.

Podle mě správný přístup závisí na tom co je vaším primárním způsobem připojení. Jestliže takto zabezpečujete wifi síť tak je podle mě dobré heslo dostatečné. Pokud si to nemyslíte, tak je zase možné nastavit mac filter pro wifi (v tomto případě je výhoda, že výrobci na wifi zakazují změnu mac a odposlechnout provoz wifi je složitější a tedy dá se na to víceméně spolehnout). Pokud se snažíte zabezpečit přístup na ethernetu tak je to trochu složitější. Obecně se v tomto případě používá IEEE 802.1X, ale pokud se nepletu tak nastavit tohle bude nepříjemné a otázka pak zní, proč to děláte a jestli to bude stát vůbec za to.

1 Like