2008/7/18 gunix <[EMAIL PROTECTED]>: > Na verdade eu quero forçar. e dizer que o mac XXXX tem que ter > obrigatoriamente o IP YYYYY. > Usando o ARP eu digo o seguinte: > > MAC IP > 00:11:3e:dd:ff:44 1.1.1.1 > 11:22:11:f4:dd:67 1.2.1.1 > > OU seja, rodo um scipt que faz a checagem. Se o ip nao for cadastrado ele > preenche o ip com MAC 00:00:00:00:00:00 > Sendo assim se o cara da estacao tentar mudar o IP dele ele nao vai ter > acesso ao server nem para pingar. Sua conecao vai ser rejeitada. > > Se os MAC estiverem liverados ai sim ele vai ter acesso aos serviços d > servidor. > Este tipo de bloqueio que to procurando. > Eu uso o ARP, porem quero saber se possui algo mais pratico e com tal > finalizada. > > No iptables nao to conseguindo achar uma opçào que bloqueie da forma que eu > quero. > Se eu liberar no firewall iptables -t filter -A INPUT -m mac --mac-source > 00:11:11:22:33:44 -j ACCEPT > > o cara passa a ter acesso total ao firewall sem bloqueios. Com o ARP ele > passa a ter acesso ao server, mas com os cloqueiois devidos do firewall. > > Fui claro? > > Att > Gustavo
Hum... Considerando que a tua policy para o INPUT seja DROP. Porque você não inclui regras do tipo abaixo logo no início: -A INPUT -m mac --mac-source 00:11:11:22:33:44 -s ! 192.168.0.xxx -j DROP Assim, a primeira coisa que você faz nas tuas regras é bloquear tudo que vem de certo MAC (considerando que este não muda) com o IP diferente daquele que você espera. Daí, se vier com o IP certo, essa regra não vai bater, permitindo que as seguintes (tuas restrições quaisquer) sejam aplicadas. Daí você pode incluir os conjuntos MAC/IP num arquivo texto, e inserir as regras dinamicamente com um laço for. ( Note que, na maioria das vezes, regras de DROP pra chains com policy DROP não fazem sentido, mas nesse caso sim, porque você está forçando a parada do processamento das regras, pra não ter que fazer essa verificação em cada uma das regras seguintes. ) Ajudou ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]