[FUG-BR] Controle MAC

"Fabrício F. Kammer" ffkammer em conchalnet.com.br
Terça Setembro 5 11:24:00 BRT 2006 

Mas pq não vai funcionar??? vc não pode confiar nos usuários que tem 
acesso root ao servidor, é isso??? Se for aí realmente é problema, pq o 
cara pode usar a acc root e não é de confiançca fica complicado :(



Celso Viana escreveu:
> Em 05/09/06, "Fabrício F. Kammer"<ffkammer at conchalnet.com.br> escreveu:
>> Entrando de gaito na conversa...
>>
>> Aqui amarro o IP ao MAC usando tabela ARP estática, a única coisa que vc
>> precisa é definir que a interface dos clientes usará tabela arp
>> estática: ifconfig xl0 staticarp, onde xl0 é a interface onde seus
>> clientes estão conectados.
>>
>> []s
>>
>> Celso Viana escreveu:
>>> Em 05/09/06, Welkson Renny de Medeiros<welkson at focusautomacao.com.br> escreveu:
>>>> Celso, eu também tive algumas dúvidas sobre esse negócio de ARP... cheguei a seguinte
>>>> conclusão.. quando você amarra um ip a um determinado mac, não quer dizer que você não
>>>> possa mudar de ip, pode sim, e fica duplicado lá no arp do gateway, mas aquele ip que
>>>> você amarrou só pode ser usado na máquina onde está aquele mac... se você for em outra
>>>> máquina e tentar colocar o ip 10.10.10.10 verá que ele não consegue acessar seu
>>>> gateway...
>>>>
>>>> Isso resolveu um problema que eu tinha... no dansguardian eu criei excessão para uns 5
>>>> ips, mas o pessoal que não participava da excessão sacou que o bloqueio era por ip,
>>>> então na hora que os pcs sem restrição estavam desligados, eles trocavam o ip :p amarrei
>>>> os 5 ips ao mac, e quando eles mudam não conseguem navegar... ou seja, aquele ip só
>>>> acessa daquele mac.
>>>>
>>>> Espero ter sido claro.
>>>>
>>>>
>>>> Welkson
>>>>
>>>>
>>>>
>>>>
>>>>> 2006/9/5, m3 BSD <m3.bsd.mania at gmail.com>:
>>>>>> Cara... usa soh o ipfw mesmo
>>>>>> mas veja bem, vc precisa acertar umas sysctl que nao me lembro de
>>>>>> cabeca agora, e prestar bem a atencao para criar as regras do ipfw
>>>>>>
>>>>>> Por exemplo:
>>>>>>
>>>>>> Digamos que vc quer amarrar o MAC 11:11:11:11:11:11 ao ip 1.1.1.1
>>>>>> eu faco assim:
>>>>>>
>>>>>> ipfw add 100 allow all from 1.1.1.1 to any MAC any 11:11:11:11:11:11
>>>>>> ipfw add 101 allow all from any to 1.1.1.1 MAC 11:11:11:11:11:11 any
>>>>>> ipfw add 102 deny all from any to any MAC 11:11:11:11:11:11 any
>>>>>> ipfw add 103 deny all from any to any MAC any 11:11:11:11:11:11
>>>>>>
>>>>>> 2006/9/5, Rafael Simão <rafajsp at gmail.com>:
>>>>>>> Bom dia,
>>>>>>> Estou com a seguinte dúvida !
>>>>>>> Eu tenho 2 BSD gateways em minha rede, ambos conectados ao Velox (Telemar, 2
>>>>>>> links), um deles está configurado com SQUID e IPFW e o outro apenas com IPFW
>>>>>>> e neste eu gostaria de fazer um controle por MAC para determinar quem irá
>>>>>>> acessar a Internet.Então eu pergunto:
>>>>>>> Seria editar a tabela arp apontando para um arquivo (arp -f)e após isso
>>>>>>> bloquear via IPFW ?
>>>>>>> Apenas bloquear via IPFW ?
>>>>>>> Eu estava lendo a respeito do IPFW2, eu compilei as opções no Kernel e não
>>>>>>> consigo habilitar o mesmo !
>>>>>>>
>>>>>>> Grato,
>>>>>>> Rafael Simão
>>>>>>>
>>>>>>> -------------------------
>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>
>>>>>> --
>>>>>> Atenciosmente
>>>>>>
>>>>>> Mario Augusto Mania <m3BSD>
>>>>>> -----------------------------------------------
>>>>>> m3.bsd.mania at gmail.com
>>>>>> Cel.: (43) 9938-9629
>>>>>> Msn: mario at oquei.com
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>
>>>>> Pegando uma carona na thread, tentei amarrar um endereço IP ao MAC usando "arp"
>>>>>
>>>>> arp -s 10.10.10.10 00:0c:6e:1c:c1:65 (gateway)
>>>>>
>>>>> depois fui na máquina e mudei o IP para 10.10.10.100
>>>>>
>>>>> fui verificar no gateway e verifiquei que tinha os 2 IP's com o mesmo
>>>>> MAC; o que posso ter feito errado?
>>>>>
>>>>> --
>>>>> Celso Vianna
>>>>> BSD User: 51318
>>>>> http://www.bsdcounter.org
>>>>>
>>>>> 63 8404-8559
>>>>> Palmas/TO
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>> Welkson,
>>>
>>> Tava tentando amarrar o IP ao MAC com o arp; só que tem esse
>>> problema... amarrei o IP "A" ao MAC "B"... aí fui na maquina, mudei o
>>> IP e naveguei normalmente... aí fica a dúvida: é possível amarrar IP
>>> ao MAC usando arp?
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> 
> Fabricio,
> 
> Então era isso que tava faltando... mas no meu caso não vai funcionar
> pois os usuários tem acesso root às máquinas... tem que ser feito no
> firewall mesmo, náo é?
> 
> Thanks
>

Mais detalhes sobre a lista de discussão freebsd