Αφού έχουμε εγκαταστήσει τον DHCP ρόλο στον Windows Server 2016 και ρυθμίσαμε τα πρώτα IPv4 Scopes για να “σερβίρουμε” IP διευθύνσεις στους clients, ήρθε η ώρα να δούμε πώς λειτουργούν τα DHCP Filters.
Τα DHCP Filters χρησιμοποιούνται κατά κύριο λόγο για να θωρακίσουμε ακόμη περισσότερο την ασφάλεια μιας υποδομής, επιτρέποντας ή αποτρέποντας συγκεκριμένους clients με βάση τις εκάστοτε MAC διευθύνσεις. Η ρύθμιση των DHCP Filters είναι αρκετά απλή και λειτουργεί σε επίπεδο server, όχι σε Scope.
Με λίγα λόγια, με το DHCP Filtering μπορούμε να φιλτράρουμε με βάση τις MAC διευθύνσεις των DHCP Clients, ποιοι από αυτούς θα επιτρέπονται (Allow) στη λήψη διευθύνσεων από τον DHCP Server και ποιοι θα αποτρέπονται (Deny).
Πριν προχωρήσετε στην υλοποίηση των DHCP Filters θα χρειαστεί να γνωρίζετε τον τρόπο που εφαρμόζονται αυτά τα φίλτρα.
- Όταν είναι ενεργοποιημένη η λίστα Allow, τότε ο DHCP Server δίνει IP διευθύνσεις μόνο στους clients που βρίσκονται σε αυτή τη λίστα απορρίπτοντας αυτόματα όλους τους υπόλοιπους. Αν οι clients είχαν ήδη μία IP διεύθυνση πριν την ενεργοποίηση του φίλτρου, τότε η IP τους δε θα ανανεωθεί αυτόματα όταν λήξει το Lease.
- Όταν είναι ενεργοποιημένη η λίστα Deny, τότε ο DHCP Server απορρίπτει όλους τους clients που βρίσκονται σε αυτή τη λίστα. Αν οι clients είχαν ήδη μία IP διεύθυνση και βρίσκονται πλέον στη λίστα Deny, τότε δε θα ανανεωθεί το Lease τους μόλις λήξει.
- Με το συνδυασμό των δύο, Allow και Deny, η λίστα Deny έχει μεγαλύτερη βαρύτητα. Αυτό σημαίνει ότι αν ένας client βρίσκεται στη λίστα Deny θα αποτρέπεται σε κάθε περίπτωση ακόμη και αν βρίσκεται παράλληλα στη λίστα Allow.
Ας τα δούμε όμως στην πράξη καλύτερα.
Ρύθμιση DHCP Filters στον DHCP Server 2016
Σε ένα ανοικτή κονσόλα του DHCP, αναπτύξτε τον server και το IPv4 και μεταβείτε στο αντικείμενο Filters. Εδώ, θα δείτε δύο υπο-φακέλους (λίστες), Allow και Deny. Ως προεπιλογή, οι δύο λίστες είναι απενεργοποιημένες και αυτό μπορείτε να το καταλάβετε από το κόκκινο βελάκι με φορά προς τα κάτω, όπως φαίνεται στην παρακάτω εικόνα.
Για να προσθέσετε έναν DHCP Client στη λίστα Allow, πατήστε δεξί κλικ και έπειτα στην επιλογή New Filter. Έπειτα, πληκτρολογήστε τη MAC διεύθυνση του client και μία περιγραφή (προαιρετικά) και πατήστε στο κουμπί Add για να ολοκληρώσετε τη διαδικασία.
Η MAC διεύθυνση που θα πληκτρολογήσετε μπορεί να είναι με παύλες (πχ. AA-BB-CC-DD-EE-FF) ή χωρίς (πχ. AABBCCDDEEFF). Μπορείτε παράλληλα να εκμεταλλευτείτε τον αστερίσκο (*) ως μπαλαντέρ για να δηλώσετε ένα εύρος MAC διευθύνσεων. Για παράδειγμα, AA-BB-*-DD-EE-FF, AA-BB-CC-*-*-*, AA-BB-*.
Αντίστοιχα, ακολουθήστε την ίδια διαδικασία για να προσθέσετε τους clients στη λίστα Deny.
Αυτό που είναι σημαντικό να γνωρίζετε είναι ότι η λίστα Deny υπερτερεί οποιαδήποτε άλλης ρύθμισης. Οπότε, αν κάποιος client δε λαμβάνει IP διεύθυνση από έναν DHCP Server και είναι ενεργοποιημένα τα Filters, τότε η πρώτη ενέργεια σας θα είναι να ελέγξετε αν υπάρχει στη λίστα Deny και έπειτα στην Allow.
Επιπλέον, μπορείτε να μετακινήσετε έναν ή περισσότερους clients από τη μία λίστα στην άλλη πατώντας δεξί κλικ και έπειτα στην αντίστοιχη επιλογή.
Την ίδια ενέργεια μπορείτε να την κάνετε και για τους clients που βρίσκονται ήδη στα Address Leases, χωρίς φυσικά να χρειάζεται να πληκτρολογήσετε τη MAC διεύθυνση.
Τέλος, μη ξεχάσετε να ενεργοποιήσετε ή απενεργοποιήσετε τις λίστες Allow και Deny πατώντας δεξί κλικ και έπειτα στην αντίστοιχη επιλογή.
Στην περίπτωση που οι DHCP clients είναι VMs ενός Hyper-V Server, ενδεχομένως να προτιμήσετε τη ρύθμιση στατικών MAC διευθύνσεων για να είστε πιο ακριβείς στις ρυθμίσεις σας, έναντι των δυναμικών MAC διευθύνσεων που αντιστοιχίζονται ως προεπιλογή.
Αφήστε το πρώτο σχόλιο