Как настроить фильтрацию mac адресов на DHCP Server в Windows Server 2008R2

Обновлено 06.10.2023

Всем привет, ранее мы рассмотрели Как установить DHCP в windows server 2008R2. Теперь его необходимо до настроить. В данной статье мы конкретнее поговорим про такой функционал DHCP сервера как Разрешение или запрещение конкретных mac адресов.

Открываем нашу оснастку DHCP, она находится Пуск-Администрирование. Сразу видим название нашего домена и IPv4 и IPv6 пулы.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-01

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-01

Переходим в IPv4-Область-Арендованные адреса и видим, что у нас получил ip адрес клиент sem1.contoso.com, видно его mac адрес.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-02

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-02

Посмотрим командой ipconfig /all сетевые данные на клиенте и сравним его mac с тем что виден в DHCP сервере. Как вы можете обратить внимание это он.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-03

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-03

У вас может сложиться ситуация, что какому нибудь компьютеру или устройству вы хотите запретить доступ к вам в сеть на уровни DHCP, для этого есть фильтрация. По умолчанию она выключена, давайте это исправим. Щелкаем правым кликом по пулу IPv4 и выбираем свойства.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-04

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-04

Идем на вкладку Фильтры и видим, что есть возможность включить две галки. Включим пункт Включить список запрещенных, эта галка как раз и дает возможность запрещать.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-05

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-05

Если включить вторую галку, Включить список разрешенных, то DHCP будет выдавать ip адреса только тем клиентам которые и входят в список разрешенных и не содержатся в списке запрещенных. Я ее пока включать не буду.

 

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-06

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-06

Теперь давайте запретим нашего клиента, щелкаем по нему правым кликом-Запретить

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-07

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-07

Видим, что статус в Профиле Фильтра изменился

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-08

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-08

И на вкладке Фильтры наш клиентский компьютер тоже присутствует

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-09

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-09

Теперь выполним на клиенте команды ipconfig /release и ipconfig /renew для освобождения ip адреса и попытке получить новый у DHCP службы. И как видите у нас вылезла ошибка, что не удалось связаться с DHCP сервером.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-10

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-10

и из области арендованных адресов он тоже пропал

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-11

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-11

Настройка фильтрации mac-адресов через PowerShell

  • ✅Для разрешающего списка mac-адресов

# Устанавливаем имя DHCP-сервера
$dhcpServerName = "DHCP-Server"

# Устанавливаем список разрешенных MAC-адресов
$allowedMacAddresses = @("00-11-22-33-44-55", "AA-BB-CC-DD-EE-FF")

# Получаем объект DHCP-сервера
$dhcpServer = Get-DhcpServerInDC -ComputerName $dhcpServerName

# Устанавливаем разрешенные MAC-адреса
Set-DhcpServerv4Filter -ComputerName $dhcpServerName -Allow -MacAddress $allowedMacAddresses

# Перезапускаем DHCP-сервер для применения изменений
Restart-Service -Name "DHCPServer" -Force

При выполнении этого скрипта, на DHCP-сервере будет установлен список разрешенных MAC-адресов, которым будет разрешено получать IP-адрес от сервера. Вы можете изменить список разрешенных MAC-адресов, указав свои собственные.

  • ✅Для добавления MAC-адресов в список запрещенных и активации опции "Включить список запрещенных" на DHCP-сервере с помощью PowerShell, вы можете использовать следующий код:

# Устанавливаем имя DHCP-сервера
$dhcpServerName = "DHCP-Server"

# Устанавливаем список запрещенных MAC-адресов
$blockedMacAddresses = @("11-22-33-44-55-66", "AA-BB-CC-DD-EE-FF")

# Получаем объект DHCP-сервера
$dhcpServer = Get-DhcpServerInDC -ComputerName $dhcpServerName

# Устанавливаем запрещенные MAC-адреса
Set-DhcpServerv4Filter -ComputerName $dhcpServerName -Deny -MacAddress $blockedMacAddresses

# Активируем опцию "Включить список запрещенных"
Set-DhcpServerv4FilterList -ComputerName $dhcpServerName -EnableFilterList $true

# Перезапускаем DHCP-сервер для применения изменений
Restart-Service -Name "DHCPServer" -Force

При выполнении этого скрипта, на DHCP-сервере будет установлен список запрещенных MAC-адресов, которым будет запрещено получать IP-адрес от сервера. Опция "Включить список запрещенных" также будет активирована.

Вот таким простым методом, можно запретить не нужные устройства, конечно злоумышленник может прописать статику, но для примера телефоны или планшеты это точно отрежет сразу на совсем. Это все лишь один из этапов защиты вашей сети. Читайте далее как изменить размер выдаваемого пула в DHCP в Windows Server 2008R2. Надеюсь что данная заметка как настроить DHCP Server в Windows Server 2008R2 будет вам полезна. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Автор - Сёмин Иван

4 Responses to Как настроить фильтрацию mac адресов на DHCP Server в Windows Server 2008R2

  1. harm:

    почему у меня на 2008r2 нет вкладки filters?

  2. Иван Семин:

    Это странно, должна быть.

  3. harm:

    вот именно.
    и хз как ее вернуть на место 🙂

  4. Иван Семин:

    Я бы пошел тогда таким путем, через PowerShell, я сейчас поищу варианты

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *