[FUGSPBR] MAC Address

Alfredo Tomio Junior atomio em sodisa.com.br
Qua Fev 26 14:32:42 BRT 2003


Enriquecendo o histórico...

Não sei porque mas o 'envenenamento' da tabela arp, é reescrito pelo cliente
de forma que não consigo travar seu acesso desta forma. A gambiarra se
mostrou ineficiente desta forma,  feito por exemplo assim:

arp -s 192.168.1.1 aa:aa:aa:aa:aa:aa
arp -s 192.168.1.2 00:e0:18:1f:55:ea
....
arp -s 192.168.1.253 aa:aa:aa:aa:aa:aa

Veja um exemplo real da saida do comando: arp -na

? (192.168.0.237) at 00:e0:4c:39:0a:b9 on rl0 permanent [ethernet]
? (192.168.0.238) at 00:d0:09:ae:da:4f on rl0 [ethernet]
? (192.168.0.239) at aa:aa:aa:aa:aa:aa on rl0 permanent [ethernet]
? (192.168.0.240) at 00:e0:4c:39:0b:5c on rl0 [ethernet]
? (192.168.0.241) at 00:e0:4c:39:09:75 on rl0 permanent [ethernet]
? (192.168.0.242) at 00:e0:7d:9e:c3:94 on rl0 permanent [ethernet]
? (192.168.0.243) at 00:00:e8:59:dc:c7 on rl0 permanent [ethernet]

note o endereço 0.239 e 0.240, mesmo o arquivo com a tabela  arp
'envenenada' sendo carregado no boot e fixando toda a tabela ela não
permanece como "permanent [ethernet]"

Resolvi o problema, complementando com o arquivo dhcpdb.pool liberando o
numero especifico de endereços para os seus respectivos arps, pois, quem é
leigo não saberá configurar o numero IP fixo nas propriedades do TCP/IP, a
maioria é.

E utilizando o ipfw para fazer um filtro assim:
....
00131 skipto 200 ip from 192.168.0.251 to any in recv rl0
00133 skipto 200 ip from 192.168.0.253 to any in recv rl0
00135 skipto 200 ip from 192.168.0.249 to any in recv rl0
00150 deny ip from 192.168.0.0/24 to any in recv rl0
00200 divert 8668 ip from any to any via wi0
65535 allow ip from any to any

Quem não estiver explícitamente liberado, não vai conseguir 'pular' o deny.

Uso o picobsd, na maioria de meus clientes, no entanto com o HD ja tenho
alternativas mais elegantes.

Aproveito para perguntar. Alguem ja utilizou o proxy-auth.1.0 disponivel em
www.hostname.org ?


Atenciosamente,

Alfredo Tomio Junior

----- Original Message -----
From: "Ronan Lucio" <ronanl em melim.com.br>
To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
Sent: Wednesday, February 26, 2003 2:03 PM
Subject: Re: [FUGSPBR] MAC Address


> Valeu pessoal,
>
> Obrigado especialmente ao Antonio e ao Vini.
> Essa dica do arp "matou a pau", resolveu meu
> problema rapidinho... hehehe
>
> As vezes é preciso fazer umas gambiarras... ;-)
>
> []'s
> Ronan
>
> On Wed, 26 Feb 2003 12:18:45 -0300
> Antonio Torres <antonio.torres em newspace.net.br> wrote:
>
> > A... esqueci...
> >
> > tambem dá para fazer "trambique" :
> >
> > se for só uns poucos MAC address, conhecidos, que voce queira *barrar*,
voce pode por eles "na marra" na sua tabela arp, com um IP 'louco'...
> >
> > tambem funciona....
> >
> > `man arp`
> >
> >
> > []s
> >
> >
> > --
> > Antonio Torres
> > antonio.torres em newspace.net.br
> > _______________________________________________________________
> > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd