Отрезать чужой DHCP

Обсуждение ОС и пр.
Ответить
KARaS'b
Сообщения: 550
Зарегистрирован: 29 сен 2011, 09:16

17 окт 2011, 09:17

Доброго времени суток.
Реально ли микротиком отрезать чужой DHCP во внутренней сети?
Ситуация такая - По дому энтузиастами когда то была брошена сеть, подключается к ней кто хочет и вот один из товарищей, раньше получавший тырнет из это сети, недавно сменил провайдера и теперь у него судя повсему ADSL тырнет и тут есть пара нюансов:
1) Товарищ гадит в сеть своим DHCP. Кулюторные люди имеющие такую же схему настроили свое железо так что бы адреса от их оборудования получали только необходимые ПК, а этот не заморачиваясь просто вставил конец шнура в один из портов роутера и все.
2) Соответственно вместе с адресами он сам того не зная раздает еще интернет и именно поэтому никто не хочет его радовать новостью о том что он самый щедрый на весь дом, ибо иногда его тырнет очень выручает :D
3) Отказаться от DHCP не совсем удобно, так как основные клиенты это буки и телефоны, то есть забив статичный адрес его придется потом перебивать где то в гостях\кафе\где то еще.
DHCP вроде как раздается по 67 порту, а ответы на него отправляются по 68. Можно ли на порту, которые будет смотреть в эту сеть заблокировать 67 порт и будет ли этого достаточно для дальнейшего прекрасного существования?
P.S. Отрезать хочу именно до своей квартиры, то есть этот же микротик будет отдавать мне интернет и если это важно то у меня с товарищем разные подсети - моя 192.168.11.0, его 192.168.1.0, а общедомовая сеть 192.168.9.0.


Заранее благодарен!


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

17 окт 2011, 09:33

1) сеть на тупых свитчах или на управляемых?


Проще вычислить Гадика и отрезать его от сети.

Получить ИП от него - найти МАК, потом если оборудование управляемое - вычислить порт. Положить порт - потом отрезать.



если тупняки - вбиваем ип из его подсетки и пингуем. Далее по сегменту отключаем сеть. Как пинг провалится - нашли сегмент.

Далее на узле сегмента дергаем дома, как пинг провалится - нашли дом.

потом свитч и так до порта.

Долго - зато действенно


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 550
Зарегистрирован: 29 сен 2011, 09:16

17 окт 2011, 09:46

Сеть "на тупых" свичах, известно и кто это именно и квартира и порт в свиче то же) Но, как уже говорил, хотелось бы только от DHCP этого товарища себя огородить, так как все таки халява и не только мне а всем остальным. :D И опять же, отрезать я хочу не на весь дом, а только что бы мне не мешал.


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

17 окт 2011, 10:33

то есть выбирать DHCP сервер для WAN , порта роутера?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 550
Зарегистрирован: 29 сен 2011, 09:16

17 окт 2011, 10:38

Что от короче я уже запутался. Вобщем наглядно:
192.168.11.11 - это мой микротик, он же шлюз в интернет для меня, он же отдает адреса моему буку и телефону. В один из лан портов в него воткнут хвост, который смотри в домовую сеть(192.168.9.0 сеть если важно). Так же у меня есть 2 стационара, на них адреса статичны 192.168.11.10 и 192.168.11.2(...11.2 так же имеет адрес 192.168.9.206 для "общения" с другими соседями по дому).

192.168.1.1 - Шлюз товарища у которого то же работает DHCP сервер и он точно так же воткнул себе конец общедомовой витухи в свой роутер, что бы так же иметь доступ в домовую сеть, но он про это не знает и знать ему не обязательно :D

Можно как то сделать так что бы его DHCP не мешал мне(т.е. настроить некую фильтрацию на определенный лан порт моего микротика), без физического выдергивания кабеля из общедомового свича, или оповещения товарища с просьбой отключить DHCP, или настроить корректно?


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

20 окт 2011, 10:13



Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 550
Зарегистрирован: 29 сен 2011, 09:16

21 окт 2011, 10:54

Спасибо, остается только понять что это и что с этим делать :D


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

23 окт 2011, 10:41

Л7 - это очень интересная функция файерволла.

Файерволл смотрит, или *читает* некую часть пакета, и анализирует на соответствие стандартным протоколам.

При соответствии - применяет какое либо действие/правило


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 550
Зарегистрирован: 29 сен 2011, 09:16

16 янв 2012, 09:15

Может у кого то возникнет такая же проблема, тому на будущее. Как только настроил тик то все домашние машины перестали цеплять чужой DHCP(до этого был asus rt-n16), причиной, как я понял, являются настройки фаервола(хотя не уверен). Настраивал автоматом вот тут поставил все галочки - http://"адрес тика"/cfg?page=firewall.


danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

21 янв 2012, 23:13

Раз сеть на неуправляемых свитчах, в сегменте будут гадить и вы с этим ничего не сделаете

У тех же D-Link на L2 управляемых свитчах есть функция DHCP server screening - режет именно паразитные DHCP
На 250GS видел настройку направлений трафика (на D-Link делается через ассинхронный VLAN)


Ответить