Hi Martin,
erinnerst Du Dich noch an das DNS und bind8 Problem.
>> Mit
>>
>> "host INV1234 {
>> hardware ethernet 00:00:21:0B:A1:B2;
>> fixed-address 192.168.1.3;
>> }"
>>
>> kann ich das ja machen. Aber wie passt das mit bind zusammen,
>> sprich woher
>> weiss named dann von INV1234. Wenn ich das hier auch noch
>> eintragen muss,
>> ufert das ganze leicht wieder aus.
> Du hast es erkannt. Zum einen müßte ein Eintrag in der dhcpd.conf gemacht
> werden, zum anderen ein A-Record in der DNS-Zone angelegt werden.
>
> Für Server würde ich DHCP eher nicht einsetzen, ich hab aber ehrlich
> gesagtnur dieses unbestimmte Gefühl. Streng genommen sollte es kein Problem
> sein, solange der DHCP-Server läuft. Wäre mal interessant, Erfahrungen von
> anderen zu hören.
Ich habe den dhcpd jetzt so konfiguriert, dass die meisten Rechner eine
dynamische IP zugewiesen bekommen. Die paar Ausnahmen trage ich mit
fixed-address in dhcpd.conf ein. Das tolle daran. dhcpd nimmt hier auch
Hostnamen. D.h. fuer obriges Beispiel:
fixed-address hostname.domain.com
funktioniert, sodass man jetzt nur noch in den bind8 Konfigurationsdateien
echte IP Adressen codieren muss. Und damit komme ich jetzt zu meinem naechsten
Problem.
Wie schaffe ich es, gezielt einigen dieser Rechner die jetzt per dhcpd dynamisch
IP Adressen zugewiesen bekommen, denZugang zum Internet ueber die firewall zu
gestatten, und anderen nicht.
ipchains laesst meines Wissens keine MAC Adressen zu und eine grobe Zuteilung
ueber verschiedene subnets ist leider auch nicht drin.
Theoretisch muesste ich bei Anfrage eines Client an den dhcp Server die
Moeglichkeit haben, die verwendete IP Adresse abhaengig von der MAC Adresse per
ipchains an die firewall zu uebergeben, default sollte die firewall zunaechst
fuer alle Rechner gesperrt sein.
(OK, ich koennte ja jedem Rechner mit freiem Zugang eine feste IP vergeben,
aber das scheint mit auch nicht sonderlich sicher, s.u.)
Also irgendeine Moeglichkeit, bei Anmeldung eines clients ein script mit der
zugeteilten IP Adresse ausfuehren zu koennen. Irgendwie muss sowas doch
machbar sein. In einem Netz von hunderten von Rechnern kann ich doch nicht nur
wegen der firewall auf dhcp verzichten. Und die IP Adressen in Bereiche mit
Internetzugang und ohne einzuteilen macht meiner Meinung nach wenig Sinn, weil
dann jeder, der seine IP Adresse an seinem Window Rechner manipulieren kann
(und das kann ja wirklich jeder, d.h. hier gibt es keine Sicherheit) dadurch
Internetzugang oder aehnliches bekommen kann.
Hast Du irgendwelche Ideen. Ich hab' mich erst mal an Dich gewandt, aber wenn
andere hier eine Idee haben, ich bin fuer jeden Tip dankbar.
Viele Gruesse
Joachim
______________________________________________________________________
Joachim Buermann -- [EMAIL PROTECTED]
ZES ZIMMER Electronic Systems GmbH
http://www.zes.com
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
