[FUG-BR] IPFW: Bloquear por IP/MAC
Alessandro de Souza Rocha
etherlinkii em gmail.com
Ter Maio 23 17:47:53 BRT 2006
Primeiro, precisa-se habilitar o suporte a camada 2 para o ipfw.
Colocar em /etc/sysctl.conf :
net.link.ether.ipfw=1
Ou entao, coloque na mao mesmo:
sysctl net.link.ether.ipfw=1
#desativando passagem unica (nao esquecer!)
/sbin/ipfw disable one_pass
# limpando as chains existentes
/sbin/ipfw -f flush
#Definindo os pipes para a rede.
add 100 pipe 1 all from 192.168.10.0/24 to any in layer2
add 101 pipe 2 all from any to 192.168.10.0/24 out layer2
#Definindo quem pode trafegar ( IP X MAC )
## 192.168.10.5
add 200 allow all from any to 192.168.10.5 MAC 00:01:02:03:04:05 any layer2
add 201 allow all from 192.168.10.5 to any MAC any 00:01:02:03:04:05 layer2
## 192.168.10.8
add 202 allow all from any to 192.168.10.8 MAC 00:05:04:03:02:01 any layer2
add 203 allow all from 192.168.10.8 to any MAC any 00:05:04:03:02:01 layer2
fechando tudo
add 65000 deny all from any to any layer2 in via rl0
onde coloquei a interface da rede local e funcionou blz.
Em 23/05/06, Tiago N. Furbeta <tfurbeta em cangere.com.br> escreveu:
>
> On Tue, 23 May 2006 13:41:04 -0300, Welkson Renny de Medeiros wrote
> > Alessandro, fiz os testes mas não funcionou... substitui o 192.168.10.5
> pelo
> > meu ip (192.168.0.200) e também atualizei o mac, inclui a regra, depois
> > alterei o ip e consegui acessar a internet do terminal normalmente...
> >
> > Depois fiz o teste que Tiago e o amigo do email freebsd em fastcars.com.br
> > sugeriu, usando o ARP.... após a mudança de ip o bsd inclui
> automaticamente
> > o novo ip com o mac na tabela arp, e continua liberado (dois ips e um
> único
> > mac)...
> >
> > Não sei o que fazer... só para efeito de informação, eu utilizo o
> FreeBSD
> > 6.0
> >
> > Abraço,
> >
> > Welkson Renny de Medeiros
>
> Cara, acabei de testar aqui no FreeBSD 6.0 e funcionou normalmente...
> No prompt, digitei:
>
> # arp -S 200.xxx.xxx.xxx 00:00:00:ff:ff:ff
>
> o host em questão foi imediatamente barrado no servidor. Muito estranho.
> Como vc fez? Através de scripts ou criou um arquivo?
> Em todo caso, esqueci de uma coisa, insira a seguinte linha antes de
> começar
> a atrelar os IPs aos MACs:
>
> arp -d -a
>
> Pelo exemplo que te mandei, o rc.local ficaria:
>
> # Controle de Acesso
> arp -d -a
> arp -f /etc/tabela_macs
>
>
> []'s
>
>
> ---------------------------------------------------------------------
> Tiago N. Furbeta
> Cangere Online Provedor de Internet Ltda.
> Provedor Associado à Global Info
> Campos Gerais - Sul de Minas
> (35) 3853-1100/3698-2006
> tfurbeta em cangere.com.br
> tfurbeta em gmail.com (MSN & Google Talk)
> ICQ# 60321102 | Skype: tfurbeta
> Linux User #412863
>
> ________________________________________________________
> Esta mensagem foi enviada pelo webmail do Cangere Online
> http://www.cangere.com.br
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www.fug.com.br/historico/html/freebsd/attachments/20060523/7c00f00a/attachment-0001.html
Mais detalhes sobre a lista de discussão freebsd