[FUGSPBR] Amarrar Mac ao IP..(velho conhecido)
Marcelo B.
marceloc em baydenet.com.br
Seg Abr 26 11:02:13 BRT 2004
veja bem wagner, vc usa o modelo aberto enquanto eu uso o modelo fechado,
existe sensiveis diferencas de qualquer forma vamos la.
On 25 Apr 2004 12:16:00 -0300, Wagner <wagner em commtat.com.br> wrote:
> Ola amigo...valeu pela resposta...
>
> eh verdade, eu naum tinha pensado nisso...
> mas agora eu to usando as regras daquele jeito que eu mandei, por
> exemplo..
>
> ipfw add 10 allow ip from 192.168.1.1 to any mac 01:02:03:04:05:06
> xxxxxxxx in via wi0
> ipfw add 11 drop ip from any to any mac 01:02:03:04:05:06 any in via wi0
>
> #### na primeira eu libero o host 192.168.1.1 que tem o mac xxxx ..
> ## depois eu bloqueio o resto ...
>
> e mesmo assim eu naum libero os pacotes de broadcast(ff:ff:ff:ff:ff:ff).
>
> mas agora esta funcionando legal.. ?? era pra parar de funcionar depois
> que expirasse o tempo da tabela arp e o host encaminhasse um broadcast a
> rede com arps request... ou naum??
sim, e nao.isso so aconteceria se o seu modelo de firewall fosse fechado,
e a mensagem de broadcast so seria enviada quando um dos lados nao
conhece-se
o mac do outro, isso seria no inicio ou depois de um certo tempo de
inatividade.
e mesmo assim isso difere muito do TCP/IP do windows pra linux e pra bsd,
sendo os dois ultimos
muito parecidos.nao consigo lembrar direito mas se nao me engano existe
uma particularidade
que seria assim:
depois de um certo tempo de inatividade no windows o mac sairia da tabela
arp, enquanto isso no linux
nunca aconteceria, bom nao posso lembrar direito no momento mas isso
geraria uma necessidade maior
de mensagens pro broadcast no windows, o fato e que no modelo fechado deve
existir as regras para/de broadcast.
> pq na verdade eu uso nas maquinas dos
> clientes uma classe C subenetada com 30 bits...e um gateway default..que
> eh estatico..entaum acho que ele naum esta necessitando desses
> broadcasts..naum eh?? a politica dessa maquina que eh um roteador
> wireless eh aberta..por isso tenho que usar a ultima regra para negar
> tudo o resto...
as mensagens de broadcast independem disso, se um dos hosts nao sabe o mac
um do outro tem que mandar uma mensagem para o destino com o mac do
broadcast(mac especial ff:ff:ff:ff:ff:ff).
a nao ser que voce sete o mac manualmente nas pontas, entao nao teria
broadcast pra mac :)
>
> ah e nessa regra que eu faço eu trabalo tbem com a layer 3, que no caso
> entra com o endereçamento logico..naum eh?
>
> Brigado mesmo!! Espero retorno.. vlw
nao entendi , mas se voce se refere a regra la de cima e layer 2 :)
wagner, se pra voce esse modelo esta funcionando aconselho continuar
usando ele.
se o quisito for seguranca nao e uma boa ideia usar o modelo aberto, acho
mais facil
trabalhar num modelo fechado so nao esqueca que trabalhar com o modelo
fechado e mac address e uma
dor de cabeca,logico e so no inicio depois tudo fica bem.
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd