Para evitar que um server aceite e valide um MAC FAKE, voce pode usar o ARPON e configurá-lo para detectar e negar na rede.
@firebitsbr Em 23 de dezembro de 2011 20:57, Renato Costallat <renato.rena...@gmail.com>escreveu: > Bloquear ou amarrar ip/mac não vai impedir nada, uma vez que é simples > mudar o mac de uma placa de rede, o que vc estaria fazendo é somente > dificultando o acesso! > > Na minha empresa ao se conectar algum mac diferente ele trava o ponto de > rede, mas creio que isso precise de equipamentos "sofisticados" que > consigam realizar tal coisa! > > Poderia instalar algum proxy com identificação, seria uma solução! > > > 2011/12/23 Roberval Sena <roberval.s...@gmail.com> > > > bom não sei se entendio a resposta.... > > ou não sei se fiz direito a pergunta rsrsr > > > > Mas é bom sempre entender o fundamento da "coisa" > > > > exemplo: o IP 192.168.1.10 está com MAC CA:CA:CA:CA:CA:CA perfeito até > > aqui. > > > > mas todos os demais IP estão sem MAC, ou sem cadastrado no > > iptables...!!!!!!!!!!!! > > logo ele trocou o IP vai Navegar!!! > > > > > > MAS, > > se você cadastrar TODOS os IPs, com MACs, não adianta NENHUM cliente > trocar > > mais o IP.... > > > > por exemplo.. > > seguindo o modelo acima coloque 00:00:00:00:00:00 que é um MAC > "inválido" > > para os IPs sem uso entende? > > > > > > ficaria assim > > 192.168.1.10 está com MAC CA:CA:CA:CA:CA:CA que é válido e está OK. > > > > já para TODOS os demais IPs coloque algo "nulo" > > 192.168.1.11 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.12 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.13 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.14 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.15 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.16 amarrado no MAC 00:00:00:00:00:00 > > 192.168.1.17 amarrado no MAC 00:00:00:00:00:00.......... > > > > > > será que consegui me expressar? :O > > > > []s > > > > > > > > > > > > > > Em 23 de dezembro de 2011 19:33, Celio Silva > > <celiosidneisi...@gmail.com>escreveu: > > > > > Estou de olho aqui, pq tenho a mesma dúvida/necessidade... > > > > > > Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados > > > (Diretoria: notebooks, celulares, etc...) > > > > > > A idéia é criar algumas regras _antes do firewall e independenteo do > > > DHCP_, que faça o seguinte: > > > > > > A máquina é o mac "x"? e o IP é "x" tb, então continua... caso > contrário > > > "drop" qualquer comunicação c/ Servidor... > > > > > > Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto > os > > > atuais, qto. qualquer outro "novo" mac q aparecer na rede... > > > > > > Quando qq usuário "engraçadinho" roubar o IP de outro equipamento... > ele > > > nem conversará c/ o servidor... / podendo o servidor até > > "denunciar" > > > que houve essa tentativa com data, hora e equipamento... > > > > > > Célio > > > > > > Em 23/12/2011 16:48, Roberval Sena escreveu: > > > > > > Salve marcos, > > >> > > >> Deixa eu fazer uma pergunta básica, > > >> Você disse que pelo iptables, amarrou um IP com um MAC, > > >> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca > > >> > > >> E que se esse cliente troca de ip.. ele continua navegando! certo? > mas > > é > > >> claro, não deveria! > > >> > > >> Bom... > > >> Se as suas regras estiverem certas eu acho que deveria funcionar, pois > > >> comigo aqui via bem > > >> > > >> BOM 2... > > >> Minha pergunta é .. > > >> Suponha que essa estação trocou o IP para 192.168.1.11.... > > >> > > >> AGORA, > > >> no seu iptables.. como está a regra para esse IP (192.168.1.11)? > > >> pq.. se não tiver regra ele(firewall) deixa passar.... > > >> > > >> desculpe se a pergunta é boba.. só queria entender pra tentar > ajudar... > > >> > > >> []s Sena > > >> > > >> Em 23 de dezembro de 2011 16:25, Marta Vuelma<marta.vue...@gmail.com > >** > > >> escreveu: > > >> > > >> Olá, Marcos. > > >>> > > >>> Bem, então neste caso não tem como impedir que os usuários troquem o > IP > > >>> das > > >>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que > > >>> podem > > >>> passar pelo firewall (e quais protocolos eles podem passar) e > bloquear > > >>> todo > > >>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar o > IP > > >>> de > > >>> outra máquina que está liberada. > > >>> > > >>> Um abraço. > > >>> > > >>> -- > > >>> *Marta Vuelma* > > >>> Senior Level Linux Professional (LPIC-3 Core) > > >>> Novell Certified Linux Administrator (NCLA) > > >>> martavuelma.wordpress.com > > >>> @MartaVuelma > > >>> > > >>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]< > mar...@pb.senac.br > > >>> > > >>>> escreveu: > > >>>> Não trabalhamos com DHCP. > > >>>> > > >>>> É atribuição manual. > > >>>> > > >>>> > > >>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma< > marta.vue...@gmail.com > > >>>> > > >>>>> escreveu: > > >>>>> Olá, Marcos. > > >>>>> > > >>>>> Para garantir que um determinado computador na rede receba sempre o > > >>>>> > > >>>> mesmo > > >>> > > >>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP. > Uma > > >>>>> > > >>>> vez > > >>> > > >>>> feito isto, poderás, então configurar no firewall os privilégios > para > > >>>>> > > >>>> os > > >>> > > >>>> respectivos IPs. > > >>>>> Lembrando que este tipo de controle que você está implementando, > > >>>>> > > >>>> dependendo > > >>>> > > >>>>> do número de hosts da sua rede pode ficar bem difícil de gerenciar. > > >>>>> > > >>>>> Um exemplo de reserva no dhcpd.conf é: > > >>>>> > > >>>>> host nome_da_maquina { > > >>>>> hardware ethernet 12:34:56:78:AB:CD; > > >>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina > > >>>>> } > > >>>>> > > >>>>> Espero ter ajudado. > > >>>>> Um abraço > > >>>>> > > >>>>> -- > > >>>>> *Marta Vuelma* > > >>>>> Senior Level Linux Professional (LPIC-3 Core) > > >>>>> Novell Certified Linux Administrator (NCLA) > > >>>>> martavuelma.wordpress.com > > >>>>> @MartaVuelma > > >>>>> > > >>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< > > mar...@pb.senac.br > > >>>>> > > >>>>>> escreveu: > > >>>>>> Ubunteiros, > > >>>>>> > > >>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. > > >>>>>> > > >>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que estão > > >>>>>> chegando... > > >>>>>> > > >>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando > > >>>>>> > > >>>>> trocar > > >>>> > > >>>>> os > > >>>>> > > >>>>>> IPs aleatoriamente > > >>>>>> > > >>>>>> para fugir das regras do firewall, já que alguns ips tem > privilégio > > >>>>>> > > >>>>> na > > >>> > > >>>> rede. > > >>>>>> > > >>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas > não > > >>>>>> > > >>>>> obtive > > >>>>> > > >>>>>> sucesso... > > >>>>>> > > >>>>>> > > >>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me > > mandar > > >>>>>> > > >>>>> um > > >>>> > > >>>>> passo-a-passo de como > > >>>>>> > > >>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em > questão > > >>>>>> > > >>>>> que > > >>>> > > >>>>> recebeu o IP(1), se trocar o seu IP > > >>>>>> > > >>>>>> para outro, ele deixe de navegar.... > > >>>>>> > > >>>>>> Exemplo: > > >>>>>> > > >>>>>> Maquina1: > > >>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > > >>>>>> > > >>>>>> Então no Firewall estaria cadastrado assim... > > >>>>>> > > >>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique > > >>>>>> > > >>>>> bloqueada e > > >>>>> > > >>>>>> perca a conexão... > > >>>>>> > > >>>>>> Como fazer? > > >>>>>> > > >>>>>> Marcos > > >>>>>> > > >>>>>> -- > > >>>>>> ------------------------------**- > > >>>>>> Marcos Túlio G S JR > > >>>>>> Setor de TI/SENAC/PB > > >>>>>> -- > > >>>>>> Mais sobre o Ubuntu em português: > http://www.ubuntu-br.org/**comece > > <http://www.ubuntu-br.org/comece> > > >>>>>> > > >>>>> -- > > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece< > > http://www.ubuntu-br.org/comece> > > > > > > Lista de discussão Ubuntu Brasil > > > Histórico, descadastramento e outras opções: > > > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br< > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> > > > > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br