12
Mac-Adresse im DHCP-Server blockieren oder sperren
Hallo liebe Gemeinde,
ich möchte gerne eine bestimmte Mac-Adresse in meine DHCP-Server (W2K3) sperren, so dass sie keine IP-Adresse bekommt. Hat jemand eine Idee?
Gruß
Bromhexin
ich möchte gerne eine bestimmte Mac-Adresse in meine DHCP-Server (W2K3) sperren, so dass sie keine IP-Adresse bekommt. Hat jemand eine Idee?
Gruß
Bromhexin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73097
Url: https://administrator.de/contentid/73097
Printed on: April 25, 2024 at 01:04 o'clock
12 Comments
Latest comment
Hmmmm.
Sperren geht (so weit ich weiss) nicht.
Aber du kannst ja diese MAC mittels einer Reservierung eine dir angenehme IP, SubNet, Gateway etc. zuordnen lassen. Vielleicht hilft das. Sollte dann fast genauso wirksam sein, wie keine IP, oder?
Peter
Sperren geht (so weit ich weiss) nicht.
Aber du kannst ja diese MAC mittels einer Reservierung eine dir angenehme IP, SubNet, Gateway etc. zuordnen lassen. Vielleicht hilft das. Sollte dann fast genauso wirksam sein, wie keine IP, oder?
Peter
@Pjordorf
das würde nur nutzen, wenn der User auch DHCP an hat.
Ist der Adapter auf man. , dann wird er mit der IP ins Netz kommen.
das würde nur nutzen, wenn der User auch DHCP an hat.
Ist der Adapter auf man. , dann wird er mit der IP ins Netz kommen.
@Pjordorf
das würde nur nutzen, wenn der User
auch DHCP an hat.
Ist der Adapter auf man. , dann wird er mit
der IP ins Netz kommen.
das würde nur nutzen, wenn der User
auch DHCP an hat.
Ist der Adapter auf man. , dann wird er mit
der IP ins Netz kommen.
So wie die Frage gestellt wurde, können wir doch in diesem Fall davon ausgehen, oder?
Aber es ist natürlich richtig, das der User am betreffenden PC mittels Manueller IP vergabe oder manipulation der MAC dieses umgehen kann.
Peter
umgehen könnte er das im Grunde immer.
Allerdings wenn du einen relativ inteligenten Switch hast, kannst du versuchen betreffend den Port bzw. die ports an die er dran kommt über die MAC zu sperren.
Natürlich brauch er nur zu wissen welche anschlussdose, einen anderen switch belegt, der vielleicht noch nicht die gebannte MAC eingespeichert hat
Allerdings wenn du einen relativ inteligenten Switch hast, kannst du versuchen betreffend den Port bzw. die ports an die er dran kommt über die MAC zu sperren.
Natürlich brauch er nur zu wissen welche anschlussdose, einen anderen switch belegt, der vielleicht noch nicht die gebannte MAC eingespeichert hat
mal gefragt ...
wie sperre ich eine mac auf dem switch ???
gruß
wie sperre ich eine mac auf dem switch ???
gruß
Mit einem Managed Switch, der in der lage ist ARP Requests für bestimmte MAC auszuschliessen.
sollte doch gehen, oder irre ich mich grad?
sollte doch gehen, oder irre ich mich grad?
Hallo Peter,
danke für den Tipp. Aber kann ich denn eine IP per Reservierung vergeben, die nicht innerhalb meines DHCP-Pools liegt? Und die Bereichsoptionen wie Subnet, Gateway, DNS, WINS usw. kann ich doch auch nicht verändern, oder?
Ich beschreibe mal meine Situation/Vorhaben ein bissel mehr.
Seit einiger Zeit sehe ich auf meinem DHCP-Server Leases ohne zugeordneten Namen. Ich habe also mal den host gepingt und via arp -a die Mac geholt. Dann habe ich alle unsere Inventarlisten und Unterlagen gecheckt, doch keinen Eintrag für die Mac-Adresse gefunden. Mein nächster Schritt war, die Mac-Adressen-Referenzliste der Hersteller im Internet zu durchforsten und siehe da, Symbios Logic Inc. ist der Hersteller. Danach mal einen kompletten Portscan gemacht und tatsächlich ist Port 2463 (Symbios Raid) offen. Da ich mir jedoch keinen Reim darauf machen kann, welche Machine, welches Device dies in unserem Netzwerk sein könnte, möchte die Mac eben von der Verteilung via DHCP ausschließen und, so blöd es auch klingen mag, schauen, was passiert.
Obwohl ich es noch nicht selbst gemacht habe, weiß ich, dass die Sperrung einer Mac auf einem managebaren Switch möglich ist.
Mir ist auch klar, dass man Mac's via Tools ändern kann und DHCP mittels Vergabe einer festen IP umgehen kann. Ich glaube allerdings nicht, dass sich in meinem Fall ein (böser) User hinter der Mac verbirgt.
Gruß
Bromhexin
danke für den Tipp. Aber kann ich denn eine IP per Reservierung vergeben, die nicht innerhalb meines DHCP-Pools liegt? Und die Bereichsoptionen wie Subnet, Gateway, DNS, WINS usw. kann ich doch auch nicht verändern, oder?
Ich beschreibe mal meine Situation/Vorhaben ein bissel mehr.
Seit einiger Zeit sehe ich auf meinem DHCP-Server Leases ohne zugeordneten Namen. Ich habe also mal den host gepingt und via arp -a die Mac geholt. Dann habe ich alle unsere Inventarlisten und Unterlagen gecheckt, doch keinen Eintrag für die Mac-Adresse gefunden. Mein nächster Schritt war, die Mac-Adressen-Referenzliste der Hersteller im Internet zu durchforsten und siehe da, Symbios Logic Inc. ist der Hersteller. Danach mal einen kompletten Portscan gemacht und tatsächlich ist Port 2463 (Symbios Raid) offen. Da ich mir jedoch keinen Reim darauf machen kann, welche Machine, welches Device dies in unserem Netzwerk sein könnte, möchte die Mac eben von der Verteilung via DHCP ausschließen und, so blöd es auch klingen mag, schauen, was passiert.
Obwohl ich es noch nicht selbst gemacht habe, weiß ich, dass die Sperrung einer Mac auf einem managebaren Switch möglich ist.
Mir ist auch klar, dass man Mac's via Tools ändern kann und DHCP mittels Vergabe einer festen IP umgehen kann. Ich glaube allerdings nicht, dass sich in meinem Fall ein (böser) User hinter der Mac verbirgt.
Gruß
Bromhexin
Hallo Peter,
danke für den Tipp. Aber kann ich denn
eine IP per Reservierung vergeben, die nicht
innerhalb meines DHCP-Pools liegt? Und die
Bereichsoptionen wie Subnet, Gateway, DNS,
WINS usw. kann ich doch auch nicht
verändern, oder?
danke für den Tipp. Aber kann ich denn
eine IP per Reservierung vergeben, die nicht
innerhalb meines DHCP-Pools liegt? Und die
Bereichsoptionen wie Subnet, Gateway, DNS,
WINS usw. kann ich doch auch nicht
verändern, oder?
Doch. Kann sogar für jede Reservierung anders sein. Also für die betreffende MAC mal ein falsches Gateway, DNS und WINS eintragen. Da wird sich dann wohl schon jemand melden, das sein/euer Symbios Logic Inc. (SCSI Subsystem, NAS, SAN iSCSI ???) nicht mehr geht.
Obwohl ich es noch nicht selbst gemacht
habe, weiß ich, dass die Sperrung einer
Mac auf einem managebaren Switch möglich
ist.
habe, weiß ich, dass die Sperrung einer
Mac auf einem managebaren Switch möglich
ist.
Auch gut, wenn möglich. Schau dir das Interface deines Switch an.
Peter
Hallo Peter,
erst mal danke für deine schnelle Antwort. Ich habe mittlerweile das Gerät gefunden. Es ist unsere ds4200 (peinlich). Ich habe die Switches mit telnet --> show Mac-Addressen abgeklappert und konnte den entsprechenden Port dann via Patchfeld zurückverfolgen. Ich wußte zwar, dass man das Gerät via Browser konfiguriert, jedoch war mir neu, das der interne Symbios-Controller auch eine IP bezieht.
Noch mal zurück zum DHCP-Server unter W2K3. Irgendwie schaffe ich es trotzdem nicht, die Reservierung so zu konfigurueren, dass die Adresse aushalb meines Pools (und außerhalb meines Netzes) liegt. Auch die Serverbereichsoptionen kann ich da nicht auf ein Fantasienetz einstellen.
Beispiel:
Mein Netzwerkadresse:
192.168.0.0/24
DHCP-Pool 192.168.0.220 bis 254
Gateway 192.168.0.1
DNS, DHCP, WINS 192.168.0.3
Ich habe dich jetzt so verstanden, dass ich eine Reservierung für eine Mac erstellen kann, die außerhalb meines Netzes liegt, also z.B. 192.168.99.1 und sogar die entsprechenden DNS-, Gatewayips könnten im 99er Netz (welches nicht existiert) sein.
Scheint bei meinem Windows aber nicht zu klappen
Gruß
Frank
erst mal danke für deine schnelle Antwort. Ich habe mittlerweile das Gerät gefunden. Es ist unsere ds4200 (peinlich). Ich habe die Switches mit telnet --> show Mac-Addressen abgeklappert und konnte den entsprechenden Port dann via Patchfeld zurückverfolgen. Ich wußte zwar, dass man das Gerät via Browser konfiguriert, jedoch war mir neu, das der interne Symbios-Controller auch eine IP bezieht.
Noch mal zurück zum DHCP-Server unter W2K3. Irgendwie schaffe ich es trotzdem nicht, die Reservierung so zu konfigurueren, dass die Adresse aushalb meines Pools (und außerhalb meines Netzes) liegt. Auch die Serverbereichsoptionen kann ich da nicht auf ein Fantasienetz einstellen.
Beispiel:
Mein Netzwerkadresse:
192.168.0.0/24
DHCP-Pool 192.168.0.220 bis 254
Gateway 192.168.0.1
DNS, DHCP, WINS 192.168.0.3
Ich habe dich jetzt so verstanden, dass ich eine Reservierung für eine Mac erstellen kann, die außerhalb meines Netzes liegt, also z.B. 192.168.99.1 und sogar die entsprechenden DNS-, Gatewayips könnten im 99er Netz (welches nicht existiert) sein.
Scheint bei meinem Windows aber nicht zu klappen
Gruß
Frank
Abend zusammen,
@6741
@#intuz#
Nein, du irrst dich nicht.
Gold richtig....
@bromhexin
Die Idee mit der Reservierung kannst du gleich wieder vergessen. Denn wie schon gesagt, entweder weißt er sich selber eine zu oder aber verändert seine MAC-Adresse. Dann kannst du lange diese Reservierungsliste pflegen.
Also ich würde entweder die Switchlösung nehmen oder installiere doch einfach den IAS. Auch bekannt unter dem Namen RADIUS Dienst - unter M$ nennt sich der Dienst Internetauthentifizierungsdienst. Damit kannst du klar definieren, welche Clients Zugang haben (egal ob LAN, WLAN oder VPN).
Grüße
Dani
@6741
wie sperre ich eine mac auf dem switch ???
Wie es sschon von #intuz# erwhänt wurde, gibt es Switche von den größeren Herstellern, bei denen du MAC-Listen für alle Ports hinterlegen kannst. Sprich, taucht deine MAC da nicht auf hast du Pech gehabt und du bekommst keine IP-Adresse bzw. keinen Zugang. Das ganze kann man sogar auf einen Port machen.@#intuz#
Nein, du irrst dich nicht.
Gold richtig....@bromhexin
Die Idee mit der Reservierung kannst du gleich wieder vergessen. Denn wie schon gesagt, entweder weißt er sich selber eine zu oder aber verändert seine MAC-Adresse. Dann kannst du lange diese Reservierungsliste pflegen.
Ich glaube allerdings nicht, dass sich in meinem Fall ein (böser) User hinter der Mac verbirgt.
Was macht dich da so sicher?? Ich glaube auch immer viel, bis ich es weiß oder belehrt wurde.Also ich würde entweder die Switchlösung nehmen oder installiere doch einfach den IAS. Auch bekannt unter dem Namen RADIUS Dienst - unter M$ nennt sich der Dienst Internetauthentifizierungsdienst. Damit kannst du klar definieren, welche Clients Zugang haben (egal ob LAN, WLAN oder VPN).
Grüße
Dani
@Dani
Kannst du mir direkt ma veraten wie die großen switchhersteller die MAC Filterung nennen? Bzw. welchen Switch du kennst der des tut, also ich meine Cisco kann des, aber ne alternative wäre nicht schlecht.
Meist nehmen die ja auch irgendwelche seltsamen abkürzungen, wie AMP - AdvanceMacProtection oder was weiß ich
Danke im Voraus
Kannst du mir direkt ma veraten wie die großen switchhersteller die MAC Filterung nennen? Bzw. welchen Switch du kennst der des tut, also ich meine Cisco kann des, aber ne alternative wäre nicht schlecht.
Meist nehmen die ja auch irgendwelche seltsamen abkürzungen, wie AMP - AdvanceMacProtection oder was weiß ich
Danke im Voraus
Moin!
die Nennung ist zu jedem Hersteller unterschiedlich! Cisco nennt das "MAC-ADDRESS-TABLE" oder auch "MAC-Filter". Je nachdem....
Wie das bei anderen Unternehmen heißt (HP, Netgear, LANCom, etc...) weiß ich nicht. Denn wir setzen nur Cisco Produkte ein.
Grüße
Dani
die Nennung ist zu jedem Hersteller unterschiedlich! Cisco nennt das "MAC-ADDRESS-TABLE" oder auch "MAC-Filter". Je nachdem....
Wie das bei anderen Unternehmen heißt (HP, Netgear, LANCom, etc...) weiß ich nicht. Denn wir setzen nur Cisco Produkte ein.
Grüße
Dani
