DHCP Misafirlere IP dağıtmasın. Ama nasıl ?

Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  

 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

Makalede Dhcp Server team tarafından hazırlanmış olan Callout Dll kullanımı ile sadece izin verilen Mac adreslerine Ip adresi atanması adım adım anlatılmıştır.İncelemenizde fayda var.

Bencede Ömer Bey'in dediği gibi Wlan veya DMZ kullanmanız daha mantıklı.Bende de aynı problem vardı.Bir AP aracılığıyla misafir makinalar için ayrı bir IP bloğundan IP dağıtarak sorunu çözdüm ve belirlediğim kurallar doğrultusunda belirli servisleri kullanmalarına izin verdim.

Merhaba,

öncelikle verilen birçok öneri ve düşünce tabii ki bu tarz bir isteği karşılamak için yapılacak birçok çözümden birkaçı.

bende aynı sizin gibi bir dertten müzdariptim ve insanların kablo veya wireless ile bir şekilde sistemimde olmalarından çok rahatsızdım, belki sisteme girdiklerinde klasör ve folder'larıma erişmiyor, server'larıma bağlanamıyorlar ama biliyorsunuz ki network üzerinden yayılan çok miktarda virüs, trojen vb birçok zararlı içerik var. Ayıca son bir iki yıldır iyice kullanımı artan wireless destekli telefonları unutmamak lazım.

Benim sistemimde şirketimizin internet çıkışı için kullandığımız MetroEthernet haricinde ayrıca birde test ve yedek olması açısından birde ADSL hattı mevcuttu. Ben DHCP server'ımda bir SuperScope oluşturdum ve sirketiçi için kullandığımı IP bloğuna ait bir Scope'u mac adresleri ile IP'lerimi tanımlayıp Exclusion Range ile de yeni IP dağıtılmamasını sağladım. Ayrıca bir tane tanımlayarak ADSL Scopu tanımladım.

Böylece network veya wireless ile sisteme giren bilgisayarların mac adresleri sistemde tanımlı ise iç IP, değil ise ADSL'den IP alarak internete çıkıyor ve benim sistemime bulaşmamış oluyor.

Umarım bir yardımım dokunmuştur.

Merhaba.

Alternatif ve düşük maliyetli bir çözüm olarak, DHCP üzerinde Mac Filtering yapabileceğimiz CallOut DLL yöntemini önerebilirim.

 

bende kabloyla herhangi bir bilgisayar sistemime bağlanmaya çalıştığında ip alamasın istiyorum callout dll acaba server 2012 r2 dhcp üzerinde çalışırmı.

merhaba,

server 2012 dhcp server ekranında, filter satırında erişimi vermek istediklerinizi allow liste eklemeniz yeterli.

callout dll server 2003 ve 2008'de çalışmakta.

fikir vermesi açısından, benzer talebi içeren birçok post mevcut, arama yapmanız yeterli.

merhaba,

server 2012 dhcp server ekranında, filter satırında erişimi vermek istediklerinizi allow liste eklemeniz yeterli.

callout dll server 2003 ve 2008'de çalışmakta.

fikir vermesi açısından, benzer talebi içeren birçok post mevcut, arama yapmanız yeterli.

peki turan bey filterdan allow listesinde olmayan hiç kimse ip alamasın olayını nasıl ayarlıyoruz acaba.

birde dışardan gelen makine kendisine elle bizim bloktan ip vererek pingleme yapabilirmi.

Selamlar ;

Elle ip vererek sizin networke ulaşabilir, Ulaşmaması için port security veya 802.1x çözümlerini uygulamanız gerekmektedir.

fortigate firewall kullanıyoruz bunun üzerinden hp yönetilebilir switch fortigate arasında 802.1x yapılandırması yapılabilirmi acaba,

teşekkürler..

Selamlar ;

Ortamınızda Active directory ve  yönetilebilir switchler var ise  uygulanabilir ancak kullanıcı sayınız ve  yapınız çok büyük değilse port security size daha  uygun da  olabilir.

fortigate firewall kullanıyoruz bunun üzerinden hp yönetilebilir switch fortigate arasında 802.1x yapılandırması yapılabilirmi acaba,

 

teşekkürler..

cumhur bey evet switchlerimiz yönetilebilir (hp 1920 48g) port security nasıl yapılıyor acaba, port security de mantık nasıl oluyor bir mac sahip cihaz sadece o portdanmı çalışır yoksa mac i tanımlı pc ler herhangi bir portda çalışır mac tanımlı olmayan bağlanamaz şeklindemi...

Selamlar ;

Portlar üzerine statik mac  adresleri ile izin verme  olarak  ayarlanıyor, her port üzerinde 1 mac  adresine izin verirseniz eklenen mac  adresinden  farklı bir  mac  adresi  bağlanamamakta. Farklı mac  adresleri içinde  policy'ler  oluşturulabilmekte  portu kapat  veya networkten izole bir  vlan a  dahil et  gibi, ancak 1920 serisi smart web management olduğu için  port security  tarafında  yetenekleri nelerdir  tam  olarak emin değilim.