linux下dhcp服务器配置(很全

1、Linux下配置完整安全的DHCP服务器详解 （1） 一、建立DHCP服务器配置文件二、建立客户租约文件三、启动和检查DHCP服务器四、配置DHCP客户端五、DHCP配置常见错误排除六、DHCP服务器的安全 DHCP是动态主机配置协议.这个协议用于向计算机自动提供IP地址,子网掩码和路由信 息。网络管理员通常会分配某个范围的IP地址来分发给局域网上的客户机。当设备接入这个局域网时，它们会向 DHCP 服务器请求一个 IP 地址。然后DHCP服务器为每个请求的设备分配一个地址，直到分配完该范围内的所有 IP 地址为止。已经分配的IP地址必须定时地延长借用期。这个延期的过程称作leasing，确保

2、了当客户机设备在正常地释放IP地址之前突然从网络断开时被 分配的地址可以归还给服务器。本文以Redhat Linux 9.0为例，介绍如何建立一个完整和安全的DHCP服务器。一、建立DHCP服务器配置文件可以使用Redhat Linux 9.0自身携带rpm包安装。安装结束后, DHCP 端口监督程序 dhcpd配置文件是/etc目录中的名为dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc /dhcpd.conf通常包括三部分：parameters、declarations 、option。1.DHCP配置文件中的parameters（参数）：表明如何执行任

3、务，是否要执行任务，或将哪些网络配置选项发送给客户。主要内容见表1 参数解释ddns-update-style配置DHCP-DNS 互动更新模式。default-lease-time指定确省租赁时间的长度，单位是秒。max-lease-time指定最大租赁时间长度，单位是秒。hardware指定网卡接口类型和MAC地址。server-name通知DHCP客户服务器名称。get-lease-hostnames flag检查客户端使用的IP地址。fixed-address ip分配给客户端一个固定的地址。authritative拒绝不正确的IP地址的要求。2. DHCP配置文件中的declarat

4、ions （声明）：用来描述网络布局、提供客户的IP地址等。主要内容见表2： 声明解释shared-network用来告知是否一些子网络分享相同网络。subnet描述一个IP地址是否属于该子网。range 起始IP 终止IP提供动态分配IP 的范围。host 主机名称参考特别的主机。group为一组参数提供声明。allow unknown-clients deny unknown-client是否动态分配IP给未知的使用者。allow bootp;deny bootp是否响应激活查询。allow bootingdeny booting是否响应使用者查询。 filename开始启动文件的名称，应

5、用于无盘工作站。next-server设置服务器从引导文件中装如主机名，应用于无盘工作站。 3. DHCP配置文件中的option（选项）：用来配置DHCP可选参数，全部用option关键字作为开始，主要内容包括见表3：选项解释subnet-mask为客户端设定子网掩码。domain-name为客户端指明DNS名字。domain-name-servers为客户端指明DNS服务器IP地址。host-name为客户端指定主机名称。routers为客户端设定默认网关。broadcast-address为客户端设定广播地址。ntp-server为客户端设定网络时间服务器IP地址。timeoffset为

6、客户端设定和格林威治时间的偏移时间，单位是秒。注意：如果客户端使用的是视窗操作系统，不要选择host-name选项，即不要为其指定主机名称。下面是一个笔者使用的DHCP配置文件，这是一个类网络，共126个IP地址可以分配的例子。读者可以复制后使用，注意红色部分是必须要修改的。ddns-update-style interim;ignore client-updates; subnet netmask option routers 54; option subnet-mask ; option b

7、roadcast-address 55; option domain-name-servers ; option domain-name ;名称 option domain-name-servers ; option time-offset -18000; range dynamic-bootp 28 55; default-lease-time 21600; max-lease-time 43200; host ns hardware ethernet 52:54:AB:34:5B:

8、09;运行DHCP的网络接口的MAC地址 fixed-address ; Linux下配置完整安全的DHCP服务器详解 （2）二、建立客户租约文件运行DHCP服务器还需要一个名为 dhcpd.leases 的文件，保持所有已经分发出去的 IP 地址。在Redhat Linux 发行版本中，该文件位于 /var/lib/dhcp/ 目录中。如果您通过 RPM 安装 ISC DHCP，那么该目录应该已经存在。dhcpd.leases的文件格式为：Leases address statement一个典型的文件内容如下：lease 55 #DHCP服务器分配

9、的IP地址# starts 1 2005/05/02 03:02:26; # lease 开始租约时间# ends 1 2005/05/02 09:02:26; # lease 结束租约时间# binding state active; next binding state free; hardware ethernet 00:00:e8:a0:25:86; #客户机网卡MAC地址# uid 001000000350240%206; #用来验证客户机的UID标示# client-hostname cjh1; #客户机名称#注意lease 开始租约时间和lease 结束租约时间是格林威治标准时间

10、（GMT），不是本地时间。第一次运行DHCP服务器时dhcpd.leases是一个空文件，也不用手工建立。如 果不是通过 RPM 安装 ISC DHCP，或者 dhcpd 已经安装，那么您应该试着确定 dhcpd 将其 lease 文件写到何处，并确保该文件存在。也可以手工建立一个空文件：#touch /var/lib/dhcp/dhcpd.leases三、启动和检查DHCP服务器使用命令启动DHCP服务器：#service dhcpd start使用ps命令检查dhcpd进程：#ps -ef | grep dhcpdroot 2402 1 0 14:25 ? 00:00:00 /usr/sb

11、in/dhcpdroot 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd使用检查dhcpd运行的端口：# netstat -nutap | grep dhcpdudp 0 0 :67 :* 2402/dhcpd四、配置DHCP客户端通常网管员使用选择手工配置 DHCP 客户，需要修改 /etc/sysconfig/network 文件来启用联网；并修改 /etc/sysconfig/network-scripts 目录中每个网络设备的配置文件。在该目录中，每个设备都有一个叫做 ifcfg-eth？ 的配置文件，eth？是网络设

12、备的名称。 如eth0等。如果你想在引导时启动联网，NETWORKING 变量必须 被设为 yes。 除了此处之外/etc/sysconfig/network 文件应该包含以下行：NETWORKING=yesDEVICE=eth0BOOTPROTO=dhcpONBOOT=yesLinux下配置完整安全的DHCP服务器详解 （3）发布时间：2005.05.19 17:56 来源：赛迪网 作者：曹江华五、DHCP配置常见错误排除通常配置DHCP 服务器很容易，不过，在这里有一些技巧可以帮助您避免出现问题。对服务器而言，要确保网卡正常工作，并具备广播功能。对客户机而言，还要确保客户机的网卡 正常工作

13、。最后，要考虑网络的拓扑，并考虑客户机向 DHCP 服务器发出的广播消息是否会受到阻碍。另外如果dhcpd进程没有启动，那么可以浏览 syslog 消息文件来确定是哪里出了问题。这个消息文件通常是 /var/log/messages。典型故障：1.DHCP服务器配置完成，没有语法错误。但是网络中的客户机却没办法取得IP地址。通常是Linux DHCP服务器沒有办法接收來自55 的 DHCP 客户机的Request 封包造成的。一般是Linux DHCP服务器的网卡没有设置具有MULTICAST功能。为了让dhcpd(dhcp程序的守护进程)能够正常的和DHCP客户机沟

14、通，dhcpd必须 传送封包到55这个IP地址，但是有些Linux系统里55这个IP地址被用来做为监听区域子网域 （local subnet）广播的 IP地址，所以需要在路由表（routing table）里加入55以激活MULTICAST功能；使用命令：route add -host 55 dev eth0如果报告错误消息：55：Unkown host那么请先修改/etc/hosts加入一行：55 dhcp2. DHCP客户端程序和DHC

15、P服务器不兼容由于Linux有许多发现版本，不同版本使用DHCP客户端程序和DHCP服务器也不相 同。Linux提供了四种DHCP客户端程序：pump, dhclient, dhcpxd, 和dhcpcd。了解不同Linux发行版本的服务器端和客户端程序对于常见错误排除是必要的。笔者曾经遇到过使用SuSE Linux 9.1 DHCP服务器和使用Mandrake Linux 9.0客户机不兼容的情况。此时就必须更换客户端程序。方法是先停止客户机的网络服务，卸载原程序，安装和服务器端兼容程序。附表：主要Linux发行版 使用的DHCP客户端。发行版本 缺省 DHCP客户端可选 DHCP 客户端

16、DHCP客户端启动脚本附加配置文件Red Hat Linux 9.0dhclient 无/sbin/ifup /etc/sysconfig/network,/etc/sysconfig/network-scripts/ifcfg-eth0Debian Linux 3.0dhclient 无/sbin/ifup/etc/network/interfaces,/etc/dhclient.confMandrake Linux 9.1dhclient dhcpcd, dhcpxd, pump/sbin/ifup /etc/sysconfig/network,/etc/sysconfig/network

17、-scripts/ifcfg-eth0,/etc/dhclient-eth0.confSuSE Linux 9.1dhcpcd dhclient /sbin/ifup-dhcp /etc/sysconfig/network/dhcp,/etc/sysconfig/network/ifcfg-eth0Linux下配置完整安全的DHCP服务器详解 （4）发布时间：2005.05.19 17:56 来源：赛迪网 作者：曹江华六、DHCP服务器的安全1. 在指定网络接口启动DHCP服务器如果你的Linux系统连接了不止一个网络界面，但是你只想让 DHCP 服务器启动其中之一，你可以配置 DHCP 服务

18、器只在那个设备上启动。在 /etc/sysconfig/dhcpd 中，把界面的名称添加到 DHCPDARGS 的列表中：DHCPDARGS=eth0或者直接使用命令： Echo “DHCPDARGS=eth0” /etc/sysconfig/dhcpd这样对于带有两个网卡的防火墙机器，更加安全：一个网卡可以被配置成 DHCP 客户来从互联网上检索 IP 地址；另一个网卡可以被用作防火墙之后的内部网络的 DHCP 服务器。仅指定连接到内部网络的网卡使系统更加安全，因为用户无法通过互联网来连接它的守护进程。2. 让DHCP服务器在监牢中运行所谓监牢就是指通过chroot机制来更改某个软件运行时所

19、能看到的根目录，即将某软件运行限制在指定目录中，保证该软件只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。这样即使出现被破坏或被侵入，所受的损失也较小。将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须 事先安装到chroot目录中，通常称这个目录为chroot jail（chroot监牢）。如果要在监牢中运行dhcpd，而事实上根本看不到文件系统中那个真正的目录。因此需要事先创建目录，并将 dhcpd复制到其中。同时dhcpd需要几个库文件，可以使用ldd（library Dependency Display缩写）命令，ldd作用是显示一个可执

20、行程序必须使用的共享库。ldd dhcpdyes libc.so.6 =/lib/tls/libc.so.6 (0x)yes /lib/ld-linux.so.2= /lib/ld-linux.so.2 (0x)style=font-family:宋体这意味着还需要在监牢中创建lib目录，并将库文件复制到其中。手工完成这一工作是非常麻烦的，此时可以用jail软件包来帮助简化chroot监牢建立的过程。（1）Jail软件的编译和安装Jail官方网站是： ，最新版本：1.9a。#Wget #tar xzvf jail.tar.gz ；cd jail/src#make； make install（2

21、）用jail创建监牢jail软件包提供了几个Perl脚本作为其核心命令，包括mkjailenv、addjailuser和addjailsw。mkjailenv：创建chroot监牢目录，并且从真实文件系统中拷贝基本的软 件环境。addjailsw：从真实文件系统中拷贝二进制可执行文件及其相关的其它文件（包括库文件、辅助性文件和设备文件）到该监牢中。 addjailuser：创建新的chroot监牢用户。首先停止目前dhcpd服务，然后建立chroot目录：#/sbin/service dhcpd start#mkjailenv /chroot/mkjailenvA component of J

22、ail (version 1.9 for linux)http:/www.gsyc.inf.uc3m.es/assman/jail/Juan M. Casillas Making chrooted environment into /chroot Doing preinstall() Doing special_devices() Doing gen_template_password() Doing postinstall()Done.下面的例子展示为监牢添加dhcpd程序的过程：# addjailsw /chroot/ -P /usr/sbin/dhcpdaddjailswA component of Jail (version 1.9 for linux)http:/www.gsyc.inf.uc3m.es/assman/jail/Jua