[ Introducción ] [
Caso-Estudio
] [ Instalación ] [ Configuración base ] [
Alias ] [ NAT
] [ Reglas ] [ DNS ] [ DHCP
] [ Caudal ] [ OpenVPN
] [ Portal ]
[ OpenVPN sin DHCP
] [ spamd ]
Emplearemos DHCP en las tres LAN (LAN, Alumnes i Wireless), mientras que en las WAN (WAN, WAN1 y WAN2) las direcciones IP estarán configuradas de forma totalmente estática.
He tardado años en decidirme por DHCP, pero con las funcionalidades que ofrece el DHCP de pfSense (basado en dnsmasq) he apostado por él incluso en los puntos de acceso de la red sin hilos y las impresoras de red.
¿Qué me ha hecho decidir? Pues:
[Services] [DHCP Server] [LAN]
[Services] [DHCP Server] [Alumnes]
[Services] [DHCP Server] [Wireless]
Activaremos pues la casilla [Enable DHCP server on LAN interface]. Indicaremos el rango de IP que queremos que el servidor asigne en las casillas [Range] y guardaremos los cambios. Con ello ya tendremos DHCP activado para la interfase.
Después haremos que cada máquina tome una dirección IP determinada (fuera del rango) en función de su dirección MAC. De esta forma cada máquina tendrá siempre la misma dirección IP (DHCP estático). Para ello necesitamos llenar la tabla [MAC address][IP address] [Description], pero no lo haremos (en principio) desde esta pantalla, si no que iremos al menú [Status] [DHCP Leases] del cortafuegos:
Allí podremos emplear el botón para "capturar" la dirección MAC, asignarle una dirección IP y modificar el comentario (inicialmente es el nombre de máquina). A partir de aquí se asignará siempre la misma dirección IP para la máquina en cuestión. Hay que tener presente que esta dirección IP no puede estar, naturalmente, dentro del rango de direcciones automáticas de DHCP. La "captura" se puede hacer mientras la máquina esté en la lista [DHCP leases]. Estará en ella mientras esté conectada o no haya pasado demasiado tiempo desde su desconexión.
Si queremos "cerrar" la red a nuevas máquinas habrá que activar una de estas dos casillas de verificación:
Deny unknown clients. En este caso sólo se asignan direcciones IP para las máquinas que figuran en la lista de direcciones MAC que hay al final de la pantalla. Se permite el resto de comunicaciones con el cortafuegos.
Enable static ARP entries. Sólo las máquinas que figuren en la lista de direcciones MAC podrán comunicarse con el cortafuegos. A pesar de que un hacker podría llegar a falsear una dirección MAC esta opción es mucho más segura que la anterior.
¡Cuidado con "cerrar" las redes si no se han incluido todas las máquinas! Si hay máquinas que no funcionan por DHCP habrá que mirar su dirección MAC (orden ipconfig /all en Windows y ifconfig en Unix/Linux) y entrarlas manualmente en la lista.
De forma similar a la red LAN, activaremos DHCP en la red Alumnes y "capturaremos" sus direcciones MAC para que cada máquina trabaje siempre con la misma dirección IP.
Tal como hemos hecho en las redes LAN y Alumnes, activaremos DHCP en la red Wireless y "capturaremos" las direcciones MAC de los puntos de acceso y de los ordenadores que tengan tarjeta sin hilos (wireless) para que siempre trabajen con la misma dirección IP.
Autor: Josep Pujadas i Jubany
© 2007. Todos los derechos reservados