[Ubuntu-BR] IP & MAC
Marlon
yodatsi em gmail.com
Quarta Janeiro 4 15:45:34 UTC 2012
Ou pelo squid
acl vpnserver arp 00:00:00:00:00:01
acl linux arp 00:03:43:63:33:13
http_access allow linux
http_access allow vpnserver
--
Marlon Valério
┌─────────────────┐
Problems, lots of Problems
└─────────────────┘
Em 2 de janeiro de 2012 11:53, Welington Rodrigues Braga (Listas) <
listas em welrbraga.eti.br> escreveu:
> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]
> <marcos em pb.senac.br> escreveu:
> > Ubunteiros,
> >
> > Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
> >
> > Com isso eu consigo liberar apenas IPs novos as máquinas que estão
> > chegando...
> >
> > Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando trocar
> os
> > IPs aleatoriamente
> >
> > para fugir das regras do firewall, já que alguns ips tem privilégio na
> rede.
> >
> > Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não
> obtive
> > sucesso...
> >
> >
> > Gostaria de saber algum caso de sucesso, e que alguém possa me mandar um
> > passo-a-passo de como
> >
> > fixar um determinado IP a um MAC, que se o usuário do MAC em questão que
> > recebeu o IP(1), se trocar o seu IP
> >
> > para outro, ele deixe de navegar....
> >
> > Exemplo:
> >
> > Maquina1:
> > IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
> >
> > Então no Firewall estaria cadastrado assim...
> >
> > Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique
> bloqueada e
> > perca a conexão...
> >
> > Como fazer?
> >
> > Marcos
> >
> > --
> > -------------------------------
> > Marcos Túlio G S JR
> > Setor de TI/SENAC/PB
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
>
> Marcos,
>
> Trabalhei vários anos aqui com o iptables "amarrando" o IP ao MAC por
> aqui e sempre funcionou bem.
>
> É importante entretanto que você saiba que o endereço MAC também pode
> ser alterado via software. Embora pouca gente saiba disso basta uma
> procura no google para descobrir isto. Assim sendo, basta descobrir o
> MAC da máquina liberada e deixar que o DHCP faça o resto, o que acaba
> tornando as coisas mais fáceis para o indivíduo, já que o MAC ele pode
> descobrir mandando ping pra toda a faixa de rede e então consultar a
> tabela ARP.
>
> A solução para minimizar isso seria usar switchs gerenciáveis e
> segmentar a rede em VLANS colocando as máquinas privilegiadas em um
> segmento a parte das demais.
>
>
> De qualquer forma seja usando vlan ou não usar ou não o DHCP não faz
> diferença para a segurança da rede haja visto que qualquer usuário
> pode desativar a consulta ao servidor DHCP em suas estações e fixar o
> IP.
>
> Em fim, voltando a questão, para amarrar o MAC ao IP basta criar as
> regras de FORWARD (entrada) e INPUT com estas informações.
>
> ex:
> iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -s
> 192.168.1.5 -i eth1 -j ACCEPT
> iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -s
> 192.168.1.5 -i eth1 -j ACCEPT
>
> iptables -P INPUT REJECT
> iptables -P FORWARD REJECT
>
> Lembre-se que o iptables analisa as regras de cima pra baixo, logo,
> não deve haver qualquer regra antes destas que perimta o carinha
> acessar o servidor.
>
> --
> Welington Rodrigues Braga
> --------------
> Web: http://www.welrbraga.eti.br
> MSN: welrbraga[*]msn·com
> Gtalk: welrbraga[*]gmail·com
> Yahoo / Skype: welrbraga
> PGP Key: 0x6C7654EB
> Linux User #253605
>
> "Em tudo somos atribulados, porém não angustiados; perplexos, porém
> não desanimados; perseguidos, porém não desamparados; abatidos, porém
> não destruídos;" - 2Co 4:8,9
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
More information about the ubuntu-br
mailing list