[FUGSPBR] bridge IPF segmentando rede
Schio
luis.tecnica em uol.com.br
Seg Jul 26 11:20:29 BRT 2004
Opa, é uma idéia, mas preciso passar acesso completo para os clientes, sem
restrição alguma com relação a serviços, etc...
E outra, as pessoas que vão administrar esse servidor não vão conseguir
editar regras no firewall toda vez que tiverem que adicionar/excluir
clientes... queria colocar o controle em banco de dados, pra automatizar o
processo.
Mesmo assim vou testar isso, consigo controlar tráfego por MAC com ipfw??
vou ter q estudar ;)
Abraços.
Atenciosamente,
Luis Schio
----- Original Message -----
From: "Suporte Matik" <asstec em matik.com.br>
To: <fugspbr em fugspbr.org>
Sent: Monday, July 26, 2004 9:49 AM
Subject: Re: [FUGSPBR] bridge IPF segmentando rede
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Monday 26 July 2004 09:33, Schio wrote:
vou te dar uma dica, acho que vc busca uma solução complicada demais
somente com o controle de MAC address vc pode controlar de que cada
cliente "conversa" somente com a bridge e não direto com outro
cliente, assim, com as regras certas num firewall fechando os
protocolos Micorosft ninguém se "encherga" mais e nem precisa fazer
essa complicação usando /30
Através desse controle de MAc vc pode "desligar" totalmente o trafego
de qualquer cliente em qq momento sem precisar de autenticação ou qq
outro método complicado.Tb não precisa de DHCP assim.
Agora não entendi bem, mas acho complicado um bridge ser um gateway.
> Ae irado (e lista...),
> O que fala lá é o que eu ja faço, setando vários IP's de várias
> redes na brigde para que funcionem como gateway dessas redes.
>
> Vou tentar me explicar melhor:
>
> Preciso montar uma máquina que irá servir de gateway para várias
> máquinas de uma rede válida (vai controlar a saída de algumas
> máquinas para a internet, controlando banda, etc, como se fosse um
> controle do speedy, autenticando o usuário).
> Então tenho uma rede ligada a uma máquina (que vai ser a bridge),
> e essa máquina ligada à uma saída válida.
> Vou controlar a saída dessa rede para a internet, autenticando a
> saída e controlando banda, ip, etc... mas com IP's roteáveis,
> válidos.
>
> Hoje, eu faço assim:
> - Divido classes "C" em várias classes 255.255.255.252 criando
> uma classe
> para cada máquina, para que não se enxerguem (não sei se tem outro
> jeito, sem ter que
> usar o pppoe... é aí que entra meu pedido de ajuda !!).
> - Configurei o FreeBSD pra ser uma bridge, e configurei varios
> IPs nele (os
> gateways dessas classes que criei a partir da classe "C"). Então,
> nos clientes, eu configuro como
> gateway um dos IPs configurados no meu Free (o correspondente à
> rede do cliente), e controlo a banda pela classe do cliente.
>
> Estou querendo reformular isso, para ganhar IPs (divindo a classe
> perco muitos... e são válidos... preciosos hehehe). Minha pergunta
> é, tem algum jeito de eu autenticar esses clientes, e dar IP de
> forma com que estejam em classes
> separadas (ou que não
> se encherguem na rede), sem ter que apelar
> pelo pppoe (por problemas com win98, teria que instalar
> autenticador na maquina de usuário, etc
> etc etc, quero facilitar o trabalho, como num DHCP. )??
> Pensei em DHCP, mas não sei se conseguiria fazer isso com ele...
> com radius...
> Além disso, gostaria de controlar os IPs que serão dados aos
> clientes pela verificação do MAC da placa deles (alguns serão
> fixos e outros dinâmicos), utilizando banco de dados (aí que o
> DHCP não atente) para controle, para poder automatizar o
> cadastro/exclusão de novos clientes.
>
> Seria um tipo de radius por MAC, dando um IP fixo ou dinâmico, sem
> que o cliente tenha q instalar nada nem autenticar.
>
> Valew galera, desculpa o abuso, se não entenderem podem
> perguntar...
>
> Atenciosamente,
> Luis Schio
>
> ----- Original Message -----
> From: "Schio" <luis.tecnica em uol.com.br>
> To: <fugspbr em fugspbr.org>
> Sent: Sunday, July 25, 2004 11:07 AM
> Subject: Re: [FUGSPBR] bridge IPF segmentando rede
>
>
> Opa, valeu as dicas ae irado !!
> Desculpa o reply... foi mal !!!!!
> Vou dar uma lida nessa documentação e qualquer novidade posto aqui
> na lista!
>
> Abraços,
>
> Atenciosamente,
> Luis Schio
>
> ----- Original Message -----
> From: "irado" <irado em hotpop.com>
> To: <fugspbr em fugspbr.org>
> Sent: Saturday, July 24, 2004 12:35 AM
> Subject: [FUGSPBR] bridge IPF segmentando rede
>
>
> Em Fri, 23 Jul 2004 16:08:53 -0300
> "Schio" <luis.tecnica em uol.com.br>, conhecido consumidor de drogas
>
> (McLixo e Coke) digitou estas besteiras:
> > Configurei o FreeBSD pra ser uma bridge, e configurei varios IPs
> > nele (os gateways dessas classes que falei). Então, nos
> > clientes, eu configuro como gateway um dos IPs configurados no
> > meu Free (o correspondente à rede do cliente), e controlo a
> > banda pela classe do cliente.
> >
> > Estou querendo reformular isso, para ganhar IPs (
>
> estive hoje justamente (re)lendo o IPFilter howto e lá pelas
> páginas tantas aparece exatamente o que vc quer fazer: uma bridge
> fazendo segmentação de rede. Tá certo que vc conseguiria colocar
> (creio) 4 placas de rede - não sei se pode-se colocar mais do que
> 4 em uma unica máquina, ou talvez placas multiplas (com até 4
> conexões rj45 cada). Enfim, tá lá, é interessante e vc pode tomar
> como base para fazer sua própria aplicação. Divirta-se :)
>
> http://www.obfuscation.org/ipf/
>
> seguinte, mano.. quando iniciar um assunto novo, NÃO use reply num
> trédi já resolvido :(
>
> flames > /dev/null
>
>
> ---
>
> saudações,
> irado furioso com tudo
> 100% Microsoft-free
> Linux User 179402/FreeBSD BSD50853
>
> Quem gosta de homem é viado. Mulher gosta é de dinheiro
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
>
> !DSPAM:4104fa1f219465724899438!
- --
Infomatik
implementamos asas na sua rede.
(18)222.3345 (18)8112.7007
_______________________________________________________
Participe na lista de segurança,
recebendo as mais importantes notícias na hora
Entre em http://info.matik.com.br e participe.
_______________________________________________________
Mensagens sem assinatura GPG não são nossas.
Messages without GPG signature are not from us.
_______________________________________________________
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (FreeBSD)
iD8DBQFBBP3o22x1wvvbslkRAnzcAJ44CZ3wTHtg3m+B4PWSkXSPQ9H26QCeMCKy
ZG26uPSd4LORYRerNwIJ6uY=
=YLMc
-----END PGP SIGNATURE-----
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd