DHCP and Network Definition

You want to create a separate host definition for each IP passed out by DHCP?  What problem are you trying to solve?

Cheers - Bob

No,
Sorry, maybe I discribed my wish unclear.
I want to have the leased hosts automaticly in the defintions.
Why should I do this, when the DHCP know the leased hosts.
Thnx Nathan

I understand your request.  I don't understand the motivation.

Cheers - Bob

Ah,
I try to create a group for different machines in the same net. 
e.g. one group print servers, on group webcams. They need different policies. 
So I just want to put the leased machines in the special group.
Nathan

I can see that it would be interesting to have a host definition automatically created for static DNS mappings and for static MAC/IP mappings.  I can see that it would be convenient to have a network definition created automatically for a DHCP range.

I don't understand why one would want individual host definitions for dynamically-leased IPs in a DHCP range.

Cheers - Bob

It would be helpful, but a potential security risk, to have an enumeration of the DHCP leases dynamically available in the network definitions table. The definitions could then be used to setup packet filters. If the capability exists, please explain. 

My current solution for DHCP clients that require network definitions is to use static entries where the IP addresses are known in advance and then can be copied into manually managed network definition objects. The security is dependent on the validity of the MAC addresses. 


The security downside to dynamically generated definitions for DHCP clients is the potential for host name spoofing. The availability of an option on the DHCP server interface entry would permit the auto generation of DHCP host definitions, and which mode of host identification is used; i.e., host name or mac address. Having definitions based on mac addresses, however, seems to defeat the benefit of the simple naming provided by the definition table that would otherwise use the friendly name of the DHCP client host. So why bother using mac address based identification? The reason is to avoid the potential ambiguity of DHCP clients with the same host name. But who in their right mind would choose to work with definition objects that are automatically named using mac address hex strings. Ok, so maybe the idea of auto generating definitions for DHCP clients is fundamentally problematic at least for security reasons.

Another potential solution would involve the internal DNS service that could leverage host info from the internal DHCP service. In this case, a network definition could be setup using the 'DNS Host' option where the address is picked up from the internal DNS server which in turn gathers host info from the internal DHCP service. At least one security concern for this type of configuration would involve DNS lookup priority where the returned host IP entry is managed by a service other than the expected internal DNS service. Another concern relates to the DHCP ambiguity/spoofing mentioned above since the DNS service relies on the security of the DHCP service.

Perhaps only the static DHCP entries could be automatically added to the definitions table as an option to the static entry. Alternately, if the network definition included the choice of referencing a static DHCP entry, this could also improve the process of identifying hosts for packet filter rules.

Not to hijack the thread, but I think that my question is the same.  Is there a way to assign packet filtering rules to hosts that receive their ip address via DHCP?

For example, we have a few iphones at my house and I would like specific rules for them, i.e. no p2p, allow im, etc.  I don't want to statically assign ip addresses to them because I don't want to deal with the configuration headaches.  Since I just setup astaro I'm not sure the ip addresses will stay the same and prying the phone from my teenage children is a pain I'd rather not have. [:)]

Well, I guess I'd blame the IT manager when the users run roughshod over the admin... [;)]

How about changing the wireless pass phrase for all the devices you control.  Then, when the kids complain that they can't get on your LAN, tell them you need to set a new parameter in their phones for them...

• Record the MAC address of each iPhone's WiFi
  
• To those MACs, assign specific addresses outside your normal wireless DHCP range
  
• Make sure you have an Astaro network definition for your wireless DHCP range
  
• Create an Astaro network definition for the IP range of the new, fixed IPs of the iPhones
  
• Don't forget to add the new pass phrase to the iPhones
  
• Now you can create the limitations you want

Have I left any steps out?

Cheers - Bob

bob,

thanks for the input.  I've setup the network that way.  Basically now I have four /26 networks (sub-divided from a /24).  The clients themselves are still configured as a /24 but I can assign rules based on the new subnets.  This seems to be working! [:D]

Basically I went to the DHCP leases screen, copied the MAC address, went over to the static mapping screen and pasted the mac address into a new static mapping.  Then I created the rules based on the ip address from the new mapping.  However, I can't help but think that this could be a little easier.  I have two thoughts and would love to some input.

1.  If I could assign a host definition based on mac address, I wouldn't have to do all this subnetting.  It would be even cooler if I could do this from the DHCP leases screen since that shows me the hostname.

2.  The same thing could be accomplished with a mac to dns mapping.

I don't know why either of those two seem more simple to me, but I guess it's just what I'm used to from consumer routers and firewalls.

But astaro so far for me has been great!  I breathe a lot easier now that I've got way more insight into what's happening on the network.  Thanks!

Just saw that something close to this is upcoming in the new BETA.  I'm going to see if I can get the beta up and running!