dhcp i linux.

Det ville du kunne med med WebAdmin, men det giver også mulighed for at oprette brugere osv. Jeg ved ikke omd et er hensigtsmæssigt.

det er det der er meningen.
at folk skal kunne oprette sig med web interface. det der "WebAdmin" hvad er det? et program til linux eller er det i alle?

Det er med i langt de fleste distributioner, bl.a Mandrake, Red Hat, SuSE og mange andre.
Her kan det ellers hentes: http://www.webmin.com/

Herlock / www.linuxplanet.dk

mmmmmm har lige set på siden....

det jeg ser er at så kan ALLE på det interne net gå ind og ændre tingene,
kan man ikke lave en php eller asp side der kan skrive direkte selv til den DHCPD delen?

Hvis folk vil have en specifik ip adresse, så sætter man deres maskine til fast ip. Der er ingen grund til at blande dhcp serveren ind i dette.

ok her er det den skal bruges til: Netparty til 200 personer.
den skal styre Hele netværket med DHCP, DNS, GATEWAY, PROXY.
som netparty arrangør skal du vide hvor hver enkelt person sidder med deres ip adresse. det kan du da ikke gøre på andre måder en det jeg har
lagt spørgsmålet op til?

jo!

Hver plads ligger har deres egen ip adresse (forudsat de hver medbringer 1 pc??)

Stol1: ip: 192.168.0.1
stol2: ip: 192.168.0.2

Når folk ankommer så har de en seddel hvor der står deres ip nummer, nameserver, og hvad de ellers lige bør vide.

der er bare et problem med den løsning "dank" det er at ½ delen ikke indtaster dem som de står på sedlen da så ved de at vi ved hvor de sidder.

ikke forstået? Du mener de indtaster en anden adresse, for at undgå i ved hvor de skal sidde?

vi har nemlig kørt med den løsning og den var ikke en success

eller hvad mener du?

- tør man spørge hvad det er for netparty iøvrigt :ø]

og så ved de at vi ikke ved hvor de sidder.

men man kan iøvrigt vistnok godt ændre sin MAC adresse

det er www.lanworld.dk

nope din Mac kan ikkw ændres med mindre du har en EP-ROM brænder.

Nåååeee... Det tror jeg nu nok man kan - ihvertifald under Linux - Det kan da godt være at selve MAC adressen på kortet ikke er ændret. Men OS tror jo det er en anden adresse, og det er vel den adresse som den sender til router/gateway... Jeg tror ikke du skal være så sikker på lige netop det fakta.

ok du ved mere om linux end mig så kan ikke sige på det punkt men i Windows kan man IKKE.

men kan man lave andre ting end den med en seddel der ikke virker ordenligt?

Hvad med et snedigt opbygget netværk via Vlan. F.eks. med en 20 ports Vlan router. Dermed har du indgrænset det pågældene ip-nr. til at være en af 10.

mmmmmm kan man ikke gøre det inden for det udstyr vi har i forvejen?
vi har:
6 stk. Olicom Crossfire 8711 40ports switche (understøtter VLAN)
1 stk. HP 4000M Backbone.
1 stk. Internet server.

jeg vil godt give dank ret - en mac adresse kan ændres softwaresmæssigt.

notat har hævet det til 100point istedet da det hele har taget en 180 grader vending.

Men ellers er svaret på det oprindelige spørgsmål, at ja det burde man kunne. Ellers kan man vel skrive en workaround.. Min lease fil ser f.ek. sådan ud:

lease 192.168.0.105 {
        starts 1 2002/09/09 12:36:35;
        ends 2 2002/09/10 00:36:35;
        hardware ethernet 00:03:47:0f:3f:79;
        uid 01:00:03:47:0f:3f:22;
        client-hostname "tsolaptop";

Hvis i på forhånd kender folks MAC adresser, kan i tildele dem en ip via leases filen. Dette må betragtes som en workaround - og er absolut utestet.

jeg lytter øre hvis der er andre bedre forslag det er jo altid nemmere at finde frem til en løsning i fællesskab.

Det i gør er så at i spørger om folk om deres MAC adresse INDEN netparty starter eller de er koblet op.. i tilføjer disse linier med ip addressen som de skal have samt deres mac adresse i leases filen.. Når de så kobler op vil dhcpd give dem denne ip.

99,99% sikker på det vil virke.

jeg tester det lige på min egen netlab..

ok

men hvad er det helt specifikt at i vil opnå ved at tildele ip'er iforhold til macadressen? Er det fordi i ønsker at kunne spore diverse ulovlydige elemtenter eller ? (hint: det er jo ikke særligt svært lige at ændre ipadresse/mac mens man lige laver random bombning af port 139..)

nej det er ikke derfor.
vi skal bare kunne vide at fx. ole der sidder ved bord 45 har ip 192.168.0.78

hvorfor er det vigtigt at vide ?

det er fordi "hvissss" Antipirat gruppen skulle komme kan de hænge arrangørne op på det med mindre at vi kan svare på fx. ham der ole der lige nu sidder og laver kopier hvad ip har han.

ok.. jeg har fundet løsningen.. Du skal kigge på BOOTP - de fleste dhcpd understøtter dette.. Her er et klip fra min "man dhcpd"

ost haagen {
              hardware ethernet 08:00:2b:4c:59:23;
              fixed-address 239.252.197.9;
              filename "/tftpboot/haagen.boot";
              option domain-name-servers 192.5.5.1;
              option domain-name "vix.com";
            }

Som du kan se så gives der en fixed adresse ud fra MAC adressen..

Det må være måden at gøre det på.. Eneste minus. alle 200 skal oprettes i conf filen.

Så kræver det da mere end det ønskede.

Folk der vil udveksle data kan bare konfigurere deres egne PC'er til at være på et andet net.

hvad mener du "herlock"?

hvis det hele bare er koblet op i en switch på en åben router så kan 2 personer ændre deres ip til 10.0.0.1 og 10.0.0.2 og udveksle data

det er det jo ikke?

det er koblet op således:
fra modemmet direkte ind i serveren der så videre derfra har til backbone der har derfra til switchene

har i ikke lavet et netværks diagram du kan offentliggøre - så tror jeg det er lidt nemmere at rådgive dig :-)

de kan udveksle data ja men de kan ikke få internet access.

ok laver det lige så 2 sec.

men, udveksling af data er ved også det som apg er på jagt efter ?

Folk der ønsker at udveksle data kan garanteret godt undvære forbindelsen til internet imens :)

Desuden er det en smal sag at tilføjer flere IP / Subnets på samme NIC

I er nød til at lave noget layer 3 kontrol

Scenario

Folk giver deres mac, får en ip / andre oplysninger, noterer dem, tilføjer dem statisk og definerer et net ved siden af på samme NIC

Og overfører naturligvis kun "diskriminerende data" på det selv-definerede net :)

damn tal dog dk :)

vi kan slet ikke styre hvad alle folk udveskler så det er ikke nødvendig
,men vi skal vide hvad folk har af ip det er det eneste.

hehe...jo altså...lad os antage at i deler et klasse C ud...nok typisk et 192.168.0.x

Det i skal sørge for er at det er det eneste net der bliver accepteret...typisk skal i bruge en layer 3 switch (der kan lave nogle selktive beslutninger ud fra hvilke IP adresser der kommer på en port)

Hvis eksempelvis 2 personer beslutter at tilføje de oplysninger de har fået fra DHCP, statisk og ydermere, eksempelvis tilføjer hhv. 10.1.0.1/24 på den ene PC og 10.1.0.2/24  på den anden PC...så kan de snakke sammen med mindre der er noget layer 3 afvisning af alle andre adresser end 192.168.0.x

Et alternativ er at smide en sniffer på (lave en "mirror port" på switchen) og sniffe alt der kommer som ikke hører til 192.168.0.x

Når så der dukker en pakke op med en anden IP, kan i ligeledes i pakken se MAC adressen og så ved hjælp af jeres fortegnelser finde personen og udvise ham.
(dette forudsætter at personen ikke har en kværn og dermed har haft muligheden for at ændre MAC adressen i pakken)

- ja - men hvis det bliver nødvendigt at spore en "forbrydelse" - og denne er forgået over 10.0.0.1 - 10.0.0.255 så har i et problem.

Men jeg ville nok løse det på anden måde.. Gå til antipirat gruppen og skitser jeres løsning med ip adresse pr. deltager.. Hvis de godkender det er i ude over problemet.

Uanset hvor meget i sikrer jer, er cd-rom brænderen opfundet :ø]

Jeg ville nøjes med løsning 1: brug bootp til at assigne ipadresser og få antipiratgruppen til at godkende jeres løsning, så er i vel fri for ansvar - hvilket er det væsentligste som jeg forstår det.

Og det ved i ikke med det scenarie

Herlock; Spørgsmålet er jo mere om det er nødvendigt. Hvis antipirat gruppen siger ok for "løsning 1" så er de vel mere eller mindre fri for ansvar.. Spørgsmålet er om man skal gå med både livrem og seler.

Så skal i også forbyde cd-rom brændere, disketter og harddiske der ikke er svejset fast i kabinettet. ~:ø]

til >herlock  har du evt. icq ?

dank: korrekt...jeg skrev mit svar samtidig med dig og så derfor ikke dit forslag ;)

duhn: jeps...men offentliggør ikke nummeret...såeeh...har du et nummer ? :)

114334125

her er info om Crossfire 8711 switchene:
Olicom's CrossFire 8711 Fast Ethernet Switch offer a switching solution for the workgroup that is unparalleled in flexibility and features. The CrossFire 8711 provides comprehensive, easy-to-use graphical management, two expansion slots and 24 10/100 Mbps ports. High performance with wire-speed forwarding and 4.8 Gbps aggregate bandwidth. The CrossFire 8711 solution delivers highspeed connectivity with built-in CrossLink link aggregation technology and support for one or more 2-port Gigabit Ethernet expansion modules.

2 units available

Sidder forøvrigt i noget der minder om fort knox og konfigurer nogle enheder lige nu...nul access for ICQ.

Meeeeen...der er også et åbent net...skal lige lure sammenhængen...

(husk at skrive hvad i finder ud af her!)

Beta Reference Guide for CrossFire 8711 Fast Ethernet Layer 2 Switch

kan Layer 2 ikke gøre det?

Nej

Layer 2 = datalink
Layer 3 = her holder protokoller såsom IP til

Går lige 5-10 min

Her er historikken dank :)
(Bør læses fra neden ;)

*** fre 13 sep 2002 17:23:55 CEST [ Afsendt ] ***
Jeg er nød til at få maskinen her over på det lukkede net igen om 5 min. så jeg kan blive færdig

*** fre 13 sep 2002 17:22:57 CEST [ Afsendt ] ***
MAC Internal errors betyder bare at den ikke lader sig forvirre ved eksempelvis loop på en port...det er rart at have men du kan ikke bruge det til noget aktivt

*** fre 13 sep 2002 17:21:49 CEST [ Afsendt ] ***
i skal så lige bruge et par weekender på at teste EtherReal så i ved den er iorden når i sætter den op (jeg har set den gå kold hvis man eksempelvis vil se snifningen live i interfacet så det skal i nok lade være med når i går i luften)

*** fre 13 sep 2002 17:20:44 CEST [ Afsendt ] ***
det kræver blot en 133 MHz med 64 MB RAM og så spiller det

*** fre 13 sep 2002 17:20:22 CEST [ Afsendt ] ***
Den kan downloades ellers købes billigt på www.linuxplanet.dk

*** fre 13 sep 2002 17:20:03 CEST [ Afsendt ] ***
Installer en Red Hat...der følger EtherReal med (i 7.3)

*** fre 13 sep 2002 17:19:41 CEST [ Afsendt ] ***
Den nemme løsning:
1. Gør som du ville...så får du alle MAC adresser på en liste med navne
2. Sæt en sniffer op og snif al trafik

Hvis AP gruppen dukker op giver du dem listen og loggen fra snifferen...så har de alle fakta !

*** fre 13 sep 2002 17:18:56 CEST [ Modtaget ] ***
under Monitoring.

*** fre 13 sep 2002 17:18:47 CEST [ Modtaget ] ***
den understøtter MAC internal errors.

*** fre 13 sep 2002 17:18:13 CEST [ Afsendt ] ***
back

*** fre 13 sep 2002 17:13:44 CEST [ Modtaget ] ***
ok

*** fre 13 sep 2002 17:13:24 CEST [ Afsendt ] ***
henter lige en kop mokka...2 etager nede...der går lige 5 min :)

*** fre 13 sep 2002 17:12:51 CEST [ Afsendt ] ***
fejl statistikker, trafik load osv

*** fre 13 sep 2002 17:12:48 CEST [ Modtaget ] ***
ok

*** fre 13 sep 2002 17:12:35 CEST [ Afsendt ] ***
årrrhh...det er alm. performance monitoring...det er på stort set alle switches af en vis kaliber

*** fre 13 sep 2002 17:12:14 CEST [ Modtaget ] ***
nope.

*** fre 13 sep 2002 17:11:49 CEST [ Afsendt ] ***
Der er bare ikke noget formål med det

*** fre 13 sep 2002 17:11:38 CEST [ Afsendt ] ***
Du kan forøvrigt godt sætte alm. PC på en monitor port så se bort fra den besked (har lige hovedet fuld)

*** fre 13 sep 2002 17:11:18 CEST [ Modtaget ] ***
Monitoring Switch Operation.
The Ethernet Statistics group, whitch contains statistics gathered by the switch for each port on this device. These statistics take the form of free running counters that start from Zero when the switch is powered up, and cover performance, fault and configuration data.

*** fre 13 sep 2002 17:09:56 CEST [ Afsendt ] ***
alt trafik kommer så forbi port 16 og snifferen kan suge oplysningerne som ønsket

*** fre 13 sep 2002 17:09:23 CEST [ Afsendt ] ***
nej...monitor port aktiveres eksempelvis på port 16
Her sætter du så snifferen på (og ikke noget andet...for alm. maskiner vil kunne lægge netværket ned med broadcasts på en monitor port ! :)

*** fre 13 sep 2002 17:08:28 CEST [ Modtaget ] ***
så kan switche i sig selv?

*** fre 13 sep 2002 17:08:21 CEST [ Modtaget ] ***
øhhhhhh

*** fre 13 sep 2002 17:07:39 CEST [ Afsendt ] ***
hedder bare noget forskelligt fra producent til producent

*** fre 13 sep 2002 17:07:27 CEST [ Afsendt ] ***
jeps...monitor port eller mirror port...det er det samme

*** fre 13 sep 2002 17:07:12 CEST [ Afsendt ] ***
Reelt kunne i også bare sniffe alt hvad der var...

*** fre 13 sep 2002 17:06:53 CEST [ Modtaget ] ***
switche har bl.a. monitoring på.

*** fre 13 sep 2002 17:06:21 CEST [ Afsendt ] ***
så i opdager hvis der dukker pakker op i snifferen

*** fre 13 sep 2002 17:06:07 CEST [ Afsendt ] ***
jepper...det kræver bare et øje på i ny og næ

*** fre 13 sep 2002 17:05:46 CEST [ Modtaget ] ***
mmmmmm kunne man så ikke bare sætte en oppe ved backbonen.

*** fre 13 sep 2002 17:05:44 CEST [ Afsendt ] ***
EtherReal er dsuden Open Source ;)

*** fre 13 sep 2002 17:05:31 CEST [ Modtaget ] ***
ok

*** fre 13 sep 2002 17:05:29 CEST [ Afsendt ] ***
Det er både den billigste og nemmeste løsning på jeres problem

*** fre 13 sep 2002 17:05:05 CEST [ Afsendt ] ***
og kan sammenligne MAC adressen i pakken med jeres liste og vupti

*** fre 13 sep 2002 17:04:49 CEST [ Afsendt ] ***
Hvis der så dukker pakker op i interfacet (Der er GUI :) ved i at nogle har overtrådt reglementet

*** fre 13 sep 2002 17:04:18 CEST [ Afsendt ] ***
Der kan du lave filtre i din snifning som siger at du kun er interesseret i at se pakker som ikke er fra 192.168.0.x

*** fre 13 sep 2002 17:04:08 CEST [ Modtaget ] ***
mmmmmmm

*** fre 13 sep 2002 17:03:45 CEST [ Afsendt ] ***
jeps

*** fre 13 sep 2002 17:03:43 CEST [ Afsendt ] ***
Det billigste alternativ er at installere en kværn og hælde EtherReal på (sniffer)

*** fre 13 sep 2002 17:03:37 CEST [ Modtaget ] ***
det vil sige men bliver nød til at have en maskine til at stå og overvæge hver switch?

*** fre 13 sep 2002 17:03:10 CEST [ Modtaget ] ***
ok

*** fre 13 sep 2002 17:03:05 CEST [ Afsendt ] ***
layer 2 er ikke nok

*** fre 13 sep 2002 17:02:52 CEST [ Afsendt ] ***
Layer 3 switche koster det vide ud af øjnene fordi de reelt er routers med mange porte

*** fre 13 sep 2002 17:02:33 CEST [ Modtaget ] ***
switchene er layer 2

*** fre 13 sep 2002 17:02:13 CEST [ Modtaget ] ***
ok lyder godt.

*** fre 13 sep 2002 17:01:58 CEST [ Afsendt ] ***
Herlock her

>herlock

når jeg skal installere linux redhat 7.3 skal jeg så tage den i text eller graphic.

mmmm og sikker på at man kan bare installere en (EtherReal) sniffer oppe i backbone, hvordan skulle den kunne se hvis der er en på switch2 der henter fra en enden på switch2 vil det ikke kun virke hvis de sidder på forskellige switche.?

Bare tag graphic mode

Du skal selvfølgelig lave lidt planlægning. Lad os antage du har 5 switche, vi kalder den ene hoved-switch.

De 4 switche konfigureres med "mirrorport" på interface 1

nu "uplink"'er du de fire switche fra deres interface 1 til hovedswitche - eksempelvis switch1 int1 -> hovedswitch int1
switch2 int1 -> h int2
sw3 int1 -> h int3
sw4 int1 -> h int4

på hovedswitchen konfigurerer du så eksempelvis port 24 som mirror port og smider snifferen herpå.

Medmindre de kan "trunk" es ?

Så kører de nemlig på samme backbone, med den rette konfiguration/features

de understøtter truncking.

Så vil jeg anbefale at du investerer i evt. special kabler, så du/i kan få det fulde udbytte af jeres enheder.

Læs og forstå afsnittet om trunking i det manual/læsestof der følger med. Jeg har kun erfaing med Cisco.

Uhhh ohhhh...i kan garanteret ikke få HP'en med i trunken da de bruger en speciel kabel type. Det er ellers solidt kram jeres HP 4000M. 9.6 GB backbone så vidt jeg husker.

jeg det er en lækker sag vores backbone.
vores crossfire 8711 40 ports har mulighed for "Truncking" af op til 8 porte ialt, det foregår via alm. path kabler de skal bare programmeres til det med det web inderface switchene har eller via telnet.

(truncking = mulighed for højere båndbredde mellem switche)

Vær forøvrigt opmærksom på det ikke hedder trunk i HP

i know. Sagt på en anden måde, én samlet backbone istedet for 4 separate

synes lige jeg ville give lidt point :)
dank:  =20
herlock:=80

Tak for det ;)

God fonøjelse

tak tak :) jeg kan jo altid lige spørge dig hvis der noget?

jada...du har mit UIN

Mail = hfh@linuxplanet.dk

Tak for point.. Selvom jeg dog undrer mig lidt over at det giver 20 point og svare på det der blev spurgt om og 80 at svare på alt muligt andet ????????

nogen gange er det ikke helt nemt at dele point ud.
men kunne faktisk godt bruge både livrem og seler derfor får han flest.

ja ja.. Det er jo som sådan heller ikke fordi jeg skal bruge de point til noget eller mangler dem for den sags skyld, men det er mere princippet at du rent faktisk har givet de fleste point til en der ikke svarede på dit spørgsmål - det finder jeg lidt mærkeligt.

Og mht til at i gerne vil gå med livrem & seler: Som gl. stud.jur vil jeg forslå i kontakter denne piratgruppe og i dialog med dem finder frem til hvilken løsning der er tilstrækkelig. I kan i alle tilfælde ikke gardere jer.. Som skrevet tidligere.. CD-ROM brænderen er opfundet.

Så for jer gælder det egentligt ikke om at kunne udpege hvilken ip/net der er blevet brugt. Det gælder om at have jeres ryg fri, ved at benytte en metode som APG har godkendt.