Ou pelo squid
acl vpnserver arp 00:00:00:00:00:01 acl linux arp 00:03:43:63:33:13 http_access allow linux http_access allow vpnserver -- Marlon Valério ┌─────────────────┐ Problems, lots of Problems └─────────────────┘ Em 2 de janeiro de 2012 11:53, Welington Rodrigues Braga (Listas) < [email protected]> escreveu: > Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI] > <[email protected]> escreveu: > > Ubunteiros, > > > > Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. > > > > Com isso eu consigo liberar apenas IPs novos as máquinas que estão > > chegando... > > > > Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando trocar > os > > IPs aleatoriamente > > > > para fugir das regras do firewall, já que alguns ips tem privilégio na > rede. > > > > Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não > obtive > > sucesso... > > > > > > Gostaria de saber algum caso de sucesso, e que alguém possa me mandar um > > passo-a-passo de como > > > > fixar um determinado IP a um MAC, que se o usuário do MAC em questão que > > recebeu o IP(1), se trocar o seu IP > > > > para outro, ele deixe de navegar.... > > > > Exemplo: > > > > Maquina1: > > IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > > > > Então no Firewall estaria cadastrado assim... > > > > Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique > bloqueada e > > perca a conexão... > > > > Como fazer? > > > > Marcos > > > > -- > > ------------------------------- > > Marcos Túlio G S JR > > Setor de TI/SENAC/PB > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > Marcos, > > Trabalhei vários anos aqui com o iptables "amarrando" o IP ao MAC por > aqui e sempre funcionou bem. > > É importante entretanto que você saiba que o endereço MAC também pode > ser alterado via software. Embora pouca gente saiba disso basta uma > procura no google para descobrir isto. Assim sendo, basta descobrir o > MAC da máquina liberada e deixar que o DHCP faça o resto, o que acaba > tornando as coisas mais fáceis para o indivíduo, já que o MAC ele pode > descobrir mandando ping pra toda a faixa de rede e então consultar a > tabela ARP. > > A solução para minimizar isso seria usar switchs gerenciáveis e > segmentar a rede em VLANS colocando as máquinas privilegiadas em um > segmento a parte das demais. > > > De qualquer forma seja usando vlan ou não usar ou não o DHCP não faz > diferença para a segurança da rede haja visto que qualquer usuário > pode desativar a consulta ao servidor DHCP em suas estações e fixar o > IP. > > Em fim, voltando a questão, para amarrar o MAC ao IP basta criar as > regras de FORWARD (entrada) e INPUT com estas informações. > > ex: > iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -s > 192.168.1.5 -i eth1 -j ACCEPT > iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -s > 192.168.1.5 -i eth1 -j ACCEPT > > iptables -P INPUT REJECT > iptables -P FORWARD REJECT > > Lembre-se que o iptables analisa as regras de cima pra baixo, logo, > não deve haver qualquer regra antes destas que perimta o carinha > acessar o servidor. > > -- > Welington Rodrigues Braga > -------------- > Web: http://www.welrbraga.eti.br > MSN: welrbraga[*]msn·com > Gtalk: welrbraga[*]gmail·com > Yahoo / Skype: welrbraga > PGP Key: 0x6C7654EB > Linux User #253605 > > "Em tudo somos atribulados, porém não angustiados; perplexos, porém > não desanimados; perseguidos, porém não desamparados; abatidos, porém > não destruídos;" - 2Co 4:8,9 > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
