Estou executando um servidor DHCP no Debian Wheezy, com o isc-dhcp-server. Como as pessoas estavam conectando máquinas não autorizadas, minhas concessões DHCP estavam acabando e, por fim, máquinas autorizadas não podiam se conectar à nossa rede. Então, eu perguntei sobre o bloqueio de certos endereços MAC de até mesmo a escolha um endereço via DHCP , e isso ajudou.
Eu decidi que gostaria de classificar os endereços IP aqui. Temos 5 servidores, 8 pontos de acesso, 12 switches gerenciados, entre 20 e 30 impressoras, além de todos os clientes autorizados. Meu objetivo é deixar os servidores em seus IPs (entre .0.1 e .0.5, inclusive), depois colocar as impressoras no próximo intervalo, depois os outros equipamentos de rede, deixando uma sub-rede apenas para essas reservas estáticas.
Eu gostaria de separar os IPs de diferentes departamentos, com base em seus nomes. Eu tenho uma sub-rede para um pool, apenas como um teste, configurado para ir para 192.168.6.x, que ainda está dentro da sub-rede original (192.168.0.0/19). Eu coloquei o seguinte no meu arquivo /etc/dhcp/dhcpd.conf
:
class "dlc" {
match if substring (option host-name,0,3) = "dlc";
}
class "DLC" {
match if substring (option host-name,0,3) = "DLC";
}
subnet 192.168.0.0 netmask 255.255.224.0 {
pool {
deny members of "blacklist";
allow members of "dlc";
allow members of "DLC";
range 192.168.6.1 192.168.6.50;
// Other options not important
}
A classe blacklist
está relacionada à pergunta anterior, o bloqueio baseado em MACs. Todas as máquinas neste grupo de teste começam com DLC
ou dlc
. Eu tenho uma máquina que é capaz de obter um endereço para este intervalo. Eu também mudei o Lease Times para um valor muito menor do que antes:
default-lease-time 7200;
#default-lease-time 28800;
#max-lease-time 36000;
max-lease-time 14400;
Meu pool geral é listado após este pool, que permite todos os clientes, exceto aqueles no grupo blacklist
. Tudo dentro do mesmo intervalo de sub-rede de 192.168.0.0/19. Eventualmente, todo departamento terá seu próprio grupo.
Então, procurei maneiras de expirar concessões. Eu tentei esta resposta de parar o servidor DHCP, explodir o arquivo de concessões e, em seguida, reiniciá-lo, mas as máquinas ainda estão reivindicando os mesmos endereços. Eu não me importo se eu preciso ir para as máquinas para executar um script, como eu posso empurrar programas ou scripts para máquinas clientes com bastante facilidade. Todos os clientes são Windows 7 ou 8.1.
O que posso fazer para forçar máquinas que, de outra forma, têm um endereço IP válido para obter uma nova na minha faixa específica? Isso é mais para minha própria organização da rede e para reconhecer mais facilmente quando os dispositivos não autorizados se conectam.