Как настроить фильтрацию mac адресов на DHCP Server в Windows Server 2008R2
Всем привет, ранее мы рассмотрели Как установить DHCP в windows server 2008R2. Теперь его необходимо до настроить. В данной статье мы конкретнее поговорим про такой функционал DHCP сервера как Разрешение или запрещение конкретных mac адресов.
Открываем нашу оснастку DHCP, она находится Пуск-Администрирование. Сразу видим название нашего домена и IPv4 и IPv6 пулы.
Переходим в IPv4-Область-Арендованные адреса и видим, что у нас получил ip адрес клиент sem1.contoso.com, видно его mac адрес.
Посмотрим командой ipconfig /all сетевые данные на клиенте и сравним его mac с тем что виден в DHCP сервере. Как вы можете обратить внимание это он.
У вас может сложиться ситуация, что какому нибудь компьютеру или устройству вы хотите запретить доступ к вам в сеть на уровни DHCP, для этого есть фильтрация. По умолчанию она выключена, давайте это исправим. Щелкаем правым кликом по пулу IPv4 и выбираем свойства.
Идем на вкладку Фильтры и видим, что есть возможность включить две галки. Включим пункт Включить список запрещенных, эта галка как раз и дает возможность запрещать.
Если включить вторую галку, Включить список разрешенных, то DHCP будет выдавать ip адреса только тем клиентам которые и входят в список разрешенных и не содержатся в списке запрещенных. Я ее пока включать не буду.
Теперь давайте запретим нашего клиента, щелкаем по нему правым кликом-Запретить
Видим, что статус в Профиле Фильтра изменился
И на вкладке Фильтры наш клиентский компьютер тоже присутствует
Теперь выполним на клиенте команды ipconfig /release и ipconfig /renew для освобождения ip адреса и попытке получить новый у DHCP службы. И как видите у нас вылезла ошибка, что не удалось связаться с DHCP сервером.
и из области арендованных адресов он тоже пропал
Настройка фильтрации mac-адресов через PowerShell
- ✅Для разрешающего списка mac-адресов
# Устанавливаем имя DHCP-сервера
$dhcpServerName = "DHCP-Server"
# Устанавливаем список разрешенных MAC-адресов
$allowedMacAddresses = @("00-11-22-33-44-55", "AA-BB-CC-DD-EE-FF")
# Получаем объект DHCP-сервера
$dhcpServer = Get-DhcpServerInDC -ComputerName $dhcpServerName
# Устанавливаем разрешенные MAC-адреса
Set-DhcpServerv4Filter -ComputerName $dhcpServerName -Allow -MacAddress $allowedMacAddresses
# Перезапускаем DHCP-сервер для применения изменений
Restart-Service -Name "DHCPServer" -Force
При выполнении этого скрипта, на DHCP-сервере будет установлен список разрешенных MAC-адресов, которым будет разрешено получать IP-адрес от сервера. Вы можете изменить список разрешенных MAC-адресов, указав свои собственные.
- ✅Для добавления MAC-адресов в список запрещенных и активации опции "Включить список запрещенных" на DHCP-сервере с помощью PowerShell, вы можете использовать следующий код:
# Устанавливаем имя DHCP-сервера
$dhcpServerName = "DHCP-Server"
# Устанавливаем список запрещенных MAC-адресов
$blockedMacAddresses = @("11-22-33-44-55-66", "AA-BB-CC-DD-EE-FF")
# Получаем объект DHCP-сервера
$dhcpServer = Get-DhcpServerInDC -ComputerName $dhcpServerName
# Устанавливаем запрещенные MAC-адреса
Set-DhcpServerv4Filter -ComputerName $dhcpServerName -Deny -MacAddress $blockedMacAddresses
# Активируем опцию "Включить список запрещенных"
Set-DhcpServerv4FilterList -ComputerName $dhcpServerName -EnableFilterList $true
# Перезапускаем DHCP-сервер для применения изменений
Restart-Service -Name "DHCPServer" -Force
При выполнении этого скрипта, на DHCP-сервере будет установлен список запрещенных MAC-адресов, которым будет запрещено получать IP-адрес от сервера. Опция "Включить список запрещенных" также будет активирована.
Вот таким простым методом, можно запретить не нужные устройства, конечно злоумышленник может прописать статику, но для примера телефоны или планшеты это точно отрежет сразу на совсем. Это все лишь один из этапов защиты вашей сети. Читайте далее как изменить размер выдаваемого пула в DHCP в Windows Server 2008R2. Надеюсь что данная заметка как настроить DHCP Server в Windows Server 2008R2 будет вам полезна. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
почему у меня на 2008r2 нет вкладки filters?
Это странно, должна быть.
вот именно.
и хз как ее вернуть на место 🙂
Я бы пошел тогда таким путем, через PowerShell, я сейчас поищу варианты