Marcos, célio, Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros .. ainda mais pelo MAC justamente daquela máquina que tem acessos privilegiados..
ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só colcoar regras pra toda a sua faixa de rede. Mas enfins, devez em quando aparece um "artista" que consegue (não sei se por acaso) driblar regras.. rsrs aí.. eu que sou o gerente da rede, monitoro! E pego o infrator... faço relatório e mando pra diretoria... Como eu monitoro? Tem várias ferramentas, e muita gente vai dar ótimas sugestões. Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai gravando no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele cliente, o IP e MAC que ele está usando no momento. Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe desse "LOG" que montei em todas as estações... ele roda bem quietinho... Logo, é só deixar por um tempo... depois é só procurar discrepâncias! []s Sena Em 24 de dezembro de 2011 00:06, Celio Silva <[email protected]>escreveu: > Usuário é 1 bixo complicado... > > Eu não quero apelar para 1 Active Directory/GPO... então, vamos esperar > uma luz... > > Célio > > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu: > > É isso que quero... >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para >> prejudicar ou para se favorecer... >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede. >> >> Entende? >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, mesmo >> que ele troque de IP ou MAC não vai adiantar... >> >> É disto que estou atrás... >> >> >> Em 23 de dezembro de 2011 18:33, Celio Silva >> <[email protected]>**escreveu: >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade... >>> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados >>> (Diretoria: notebooks, celulares, etc...) >>> >>> A idéia é criar algumas regras _antes do firewall e independenteo do >>> DHCP_, que faça o seguinte: >>> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso contrário >>> "drop" qualquer comunicação c/ Servidor... >>> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto os >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede... >>> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento... ele >>> nem conversará c/ o servidor... / podendo o servidor até >>> "denunciar" >>> que houve essa tentativa com data, hora e equipamento... >>> >>> Célio >>> >>> Em 23/12/2011 16:48, Roberval Sena escreveu: >>> >>> Salve marcos, >>> >>>> Deixa eu fazer uma pergunta básica, >>>> Você disse que pelo iptables, amarrou um IP com um MAC, >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca >>>> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo? mas >>>> é >>>> claro, não deveria! >>>> >>>> Bom... >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, pois >>>> comigo aqui via bem >>>> >>>> BOM 2... >>>> Minha pergunta é .. >>>> Suponha que essa estação trocou o IP para 192.168.1.11.... >>>> >>>> AGORA, >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)? >>>> pq.. se não tiver regra ele(firewall) deixa passar.... >>>> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar ajudar... >>>> >>>> []s Sena >>>> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<[email protected]>** >>>> ** >>>> escreveu: >>>> >>>> Olá, Marcos. >>>> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem o IP >>>>> das >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que >>>>> podem >>>>> passar pelo firewall (e quais protocolos eles podem passar) e bloquear >>>>> todo >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar o IP >>>>> de >>>>> outra máquina que está liberada. >>>>> >>>>> Um abraço. >>>>> >>>>> -- >>>>> *Marta Vuelma* >>>>> Senior Level Linux Professional (LPIC-3 Core) >>>>> Novell Certified Linux Administrator (NCLA) >>>>> martavuelma.wordpress.com >>>>> @MartaVuelma >>>>> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<[email protected] >>>>> >>>>> escreveu: >>>>>> Não trabalhamos com DHCP. >>>>>> >>>>>> É atribuição manual. >>>>>> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<[email protected] >>>>>> >>>>>> escreveu: >>>>>>> Olá, Marcos. >>>>>>> >>>>>>> Para garantir que um determinado computador na rede receba sempre o >>>>>>> >>>>>>> mesmo >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP. Uma >>>>>> vez >>>>>> feito isto, poderás, então configurar no firewall os privilégios para >>>>>> os >>>>>> respectivos IPs. >>>>>> >>>>>>> Lembrando que este tipo de controle que você está implementando, >>>>>>> >>>>>>> dependendo >>>>>> >>>>>> do número de hosts da sua rede pode ficar bem difícil de gerenciar. >>>>>>> >>>>>>> Um exemplo de reserva no dhcpd.conf é: >>>>>>> >>>>>>> host nome_da_maquina { >>>>>>> hardware ethernet 12:34:56:78:AB:CD; >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina >>>>>>> } >>>>>>> >>>>>>> Espero ter ajudado. >>>>>>> Um abraço >>>>>>> >>>>>>> -- >>>>>>> *Marta Vuelma* >>>>>>> Senior Level Linux Professional (LPIC-3 Core) >>>>>>> Novell Certified Linux Administrator (NCLA) >>>>>>> martavuelma.wordpress.com >>>>>>> @MartaVuelma >>>>>>> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< >>>>>>> [email protected] >>>>>>> >>>>>>> escreveu: >>>>>>>> Ubunteiros, >>>>>>>> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. >>>>>>>> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que estão >>>>>>>> chegando... >>>>>>>> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando >>>>>>>> >>>>>>>> trocar >>>>>>> os >>>>>>> >>>>>>> IPs aleatoriamente >>>>>>>> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem privilégio >>>>>>>> >>>>>>>> na >>>>>>> >>>>>> rede. >>>>>> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não >>>>>>>> >>>>>>>> obtive >>>>>>> >>>>>>> sucesso... >>>>>>>> >>>>>>>> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me >>>>>>>> mandar >>>>>>>> >>>>>>>> um >>>>>>> passo-a-passo de como >>>>>>> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em questão >>>>>>>> >>>>>>>> que >>>>>>> recebeu o IP(1), se trocar o seu IP >>>>>>> >>>>>>>> para outro, ele deixe de navegar.... >>>>>>>> >>>>>>>> Exemplo: >>>>>>>> >>>>>>>> Maquina1: >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) >>>>>>>> >>>>>>>> Então no Firewall estaria cadastrado assim... >>>>>>>> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique >>>>>>>> >>>>>>>> bloqueada e >>>>>>> >>>>>>> perca a conexão... >>>>>>>> >>>>>>>> Como fazer? >>>>>>>> >>>>>>>> Marcos >>>>>>>> >>>>>>>> -- >>>>>>>> ------------------------------****- >>>>>>>> Marcos Túlio G S JR >>>>>>>> Setor de TI/SENAC/PB >>>>>>>> >>>>>>> > -- > Mais sobre o Ubuntu em português: > http://www.ubuntu-br.org/**comece<http://www.ubuntu-br.org/comece> > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
