sslug-teknik team mailing list archive

[Jakob Oestergaard <jakob@xxxxxxxxxxxxxxxx>]

On Tue, Mar 23, 1999 at 04:48:14PM +0100, S Stomper wrote:
> På et kollegie skal vi have trukket netværksstik ud til alle beboerne,
> således at alle kan bruge internet. Internetforbindelsen får vi fra en
> nærliggende skole.
> Vi har tænkt os at investere i en enkelt kraftig server som skal køre
> linux, og fungere som router, email, webserver osv. Vi kommer nok til at
> bruge masquerading da jeg ikke tror vi får en ip-pool. Der er ialt ca
> 250 brugere.

Ostenfeld kollegiet har ca. 250 brugere koblet på, og vi kører routing, dhcp,
dns og mail på en Pentium 133 MHz (128 MB RAM, Quantum Viking SCSI HD, Accton (Tulip)
netkort).
Maskinen router godt 50 GB om dagen, og leverer godt 2000 mails.

> Vores problem består i at det er blevet vedtaget at det kun er dem der
> ønsker at tilmelde sig som kommer til at betale. Det er derfor vigtigt
> at man på ingen måde kan få internet adgang uden først at blive
> verificeret af serveren.

Vi har samme problemstilling: kun folk der har underskrevet en brugererklæring
skal have adgang.   Men der er kabler forbundet fra de fleste værelser, så alle
kan faktisk sætte en maskine på uden videre.  De skal bare ikke kunne bruge
nettet...

> Kan man bruge DHCP sådan at man skal verificere sig før man får tildelt
> en ip, og sådan at det kun er de adresser der er uddelt af dhcp serveren
> der har hul igennem til internet.
> Eller endnu bedre : Kan man sørge for at reservere en række adresser som
> har adgang gennem routeren ,som man ikke selv kan tildele sig. På samme
> måde som hvis man forsøger at koble sig på et ethernet med en ip som en
> anden maskine bruger.

Vi har sat DHCP serveren op til statisk at uddele IP adresser ud fra hvilken MAC
adresse folks netkort har.  MAC adressen registreres når folk underskriver
en brugererklæring.

Desuden, sætter vi servernes ARP tabeller statisk op, til at indeholde MAC<->IP
bindinger til alle registrerede netkort,  og nogle obskure MAC adresser for resten
af IP numrene på vores net.

Det betyder, at tildeler man sig selv en IP adresse på vores net, kommer man
ikke igennem, da ens MAC adresse vil fære forkert i forhold til IP adressen.

Man kan så tildele sig selv en IP adresse vi ikke har sat MAC adressen op for,
f.eks. et 10.x.x.x  nummer,  men de numre bliver jo ikke routet videre,  så man
kommer ikke uden for kollegiet med det.

arp programmet understøtter indlæsning af MAC<->IP bindinger fra en fil (normalt
/etc/ethers), og det er jo let at bygge lidt Perl sammen til at sætte dhcpd.conf
og ethers filerne op så de passer sammen.

På meget store net vil den store statiske ARP tabel sikkert give problemer, men
med 250 brugere, flyver denne løsning.

> Hvis ovenstående er muligt som det jo sikkert er, så skal det også være
> sådan at man kun kan få tildelt en ip pr bruger pr gang. Ellers finder
> folk nok hurtigt ud af at deles om en brugerkonto.

Folk skal bytte netkort, hvis de vil deles om en tilkobling.

................................................................
: jakob@xxxxxxxxxxxxxxxx  : And I see the elder races,         :
:.........................: putrid forms of man                :
:   Jakob Østergaard      : See him rise and claim the earth,  :
:        OZ9ABN           : his downfall is at hand.           :
:.........................:............{Konkhra}...............: