[Ubuntu-BR] IP & MAC

Welington Rodrigues Braga (Listas) listas em welrbraga.eti.br
Segunda Janeiro 2 13:53:31 UTC 2012


Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]
<marcos em pb.senac.br> escreveu:
> Ubunteiros,
>
> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
>
> Com isso eu consigo liberar apenas IPs novos as máquinas que estão
> chegando...
>
> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando trocar os
> IPs aleatoriamente
>
> para fugir das regras do firewall, já que alguns ips tem privilégio na rede.
>
> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não obtive
> sucesso...
>
>
> Gostaria de saber algum caso de sucesso, e que alguém possa me mandar um
> passo-a-passo de como
>
> fixar um determinado IP a um MAC, que se o usuário do MAC em questão que
> recebeu o IP(1), se trocar o seu IP
>
> para outro, ele deixe de navegar....
>
> Exemplo:
>
> Maquina1:
> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
>
> Então no Firewall estaria cadastrado assim...
>
> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique bloqueada e
> perca a conexão...
>
> Como fazer?
>
> Marcos
>
> --
> -------------------------------
> Marcos Túlio G S JR
> Setor de TI/SENAC/PB
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br


Marcos,

Trabalhei vários anos aqui com o iptables "amarrando" o IP ao MAC por
aqui e sempre funcionou bem.

É importante entretanto que você saiba que o endereço MAC também pode
ser alterado via software. Embora pouca gente saiba disso basta uma
procura no google para descobrir isto. Assim sendo, basta descobrir o
MAC da máquina liberada e deixar que o DHCP faça o resto, o que acaba
tornando as coisas mais fáceis para o indivíduo, já que o MAC ele pode
descobrir mandando ping pra toda a faixa de rede e então consultar a
tabela ARP.

A solução para minimizar isso seria usar switchs gerenciáveis e
segmentar a rede em VLANS colocando as máquinas privilegiadas em um
segmento a parte das demais.


De qualquer forma seja usando vlan ou não usar ou não o DHCP não faz
diferença para a segurança da rede haja visto que qualquer usuário
pode desativar a consulta ao servidor DHCP em suas estações e fixar o
IP.

Em fim, voltando a questão, para amarrar o MAC ao IP basta criar as
regras de FORWARD (entrada) e INPUT com estas informações.

ex:
iptables -A INPUT        -m mac --mac-source 00:11:22:33:44:55 -s
192.168.1.5 -i eth1 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -s
192.168.1.5 -i eth1 -j ACCEPT

iptables -P INPUT REJECT
iptables -P FORWARD REJECT

Lembre-se que o iptables analisa as regras de cima pra baixo, logo,
não deve haver qualquer regra antes destas que perimta o carinha
acessar o servidor.

-- 
Welington Rodrigues Braga
--------------
Web: http://www.welrbraga.eti.br
MSN: welrbraga[*]msn·com
Gtalk: welrbraga[*]gmail·com
Yahoo / Skype:  welrbraga
PGP Key: 0x6C7654EB
Linux User #253605

"Em tudo somos atribulados, porém não angustiados; perplexos, porém
não desanimados; perseguidos, porém não desamparados; abatidos, porém
não destruídos;" - 2Co 4:8,9




More information about the ubuntu-br mailing list