Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI] <[email protected]> escreveu: > Ubunteiros, > > Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. > > Com isso eu consigo liberar apenas IPs novos as máquinas que estão > chegando... > > Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando trocar os > IPs aleatoriamente > > para fugir das regras do firewall, já que alguns ips tem privilégio na rede. > > Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não obtive > sucesso... > > > Gostaria de saber algum caso de sucesso, e que alguém possa me mandar um > passo-a-passo de como > > fixar um determinado IP a um MAC, que se o usuário do MAC em questão que > recebeu o IP(1), se trocar o seu IP > > para outro, ele deixe de navegar.... > > Exemplo: > > Maquina1: > IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > > Então no Firewall estaria cadastrado assim... > > Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique bloqueada e > perca a conexão... > > Como fazer? > > Marcos > > -- > ------------------------------- > Marcos Túlio G S JR > Setor de TI/SENAC/PB > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Marcos, Trabalhei vários anos aqui com o iptables "amarrando" o IP ao MAC por aqui e sempre funcionou bem. É importante entretanto que você saiba que o endereço MAC também pode ser alterado via software. Embora pouca gente saiba disso basta uma procura no google para descobrir isto. Assim sendo, basta descobrir o MAC da máquina liberada e deixar que o DHCP faça o resto, o que acaba tornando as coisas mais fáceis para o indivíduo, já que o MAC ele pode descobrir mandando ping pra toda a faixa de rede e então consultar a tabela ARP. A solução para minimizar isso seria usar switchs gerenciáveis e segmentar a rede em VLANS colocando as máquinas privilegiadas em um segmento a parte das demais. De qualquer forma seja usando vlan ou não usar ou não o DHCP não faz diferença para a segurança da rede haja visto que qualquer usuário pode desativar a consulta ao servidor DHCP em suas estações e fixar o IP. Em fim, voltando a questão, para amarrar o MAC ao IP basta criar as regras de FORWARD (entrada) e INPUT com estas informações. ex: iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -s 192.168.1.5 -i eth1 -j ACCEPT iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -s 192.168.1.5 -i eth1 -j ACCEPT iptables -P INPUT REJECT iptables -P FORWARD REJECT Lembre-se que o iptables analisa as regras de cima pra baixo, logo, não deve haver qualquer regra antes destas que perimta o carinha acessar o servidor. -- Welington Rodrigues Braga -------------- Web: http://www.welrbraga.eti.br MSN: welrbraga[*]msn·com Gtalk: welrbraga[*]gmail·com Yahoo / Skype: welrbraga PGP Key: 0x6C7654EB Linux User #253605 "Em tudo somos atribulados, porém não angustiados; perplexos, porém não desanimados; perseguidos, porém não desamparados; abatidos, porém não destruídos;" - 2Co 4:8,9 -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
