[FUG-BR] Controle MAC

Rafael Simão rafajsp em gmail.com
Terça Setembro 5 13:58:12 BRT 2006


É justamente isso que eu pretendo fazer !!!
Eu não quero que nenhum engraçadinho use meu Gateway "reservado", ou seja, 
eu quero filtrar isso logo de "cara" na interface sem precisar usar no 
Firewall, contudo ... minha "neurose" de redundância em tudo me leva a 
adicionar também no meu script de firewall !
Eu queria na verdade que se não estivesse na tabela arp ... o fulaninho nem 
"batesse" na minha interface. À "grosso modo" é isso o que eu procuro.
Mas considero as outras respostas e ainda me econtro em testes.
Grato,
Rafael Simão


----- Original Message ----- 
From: ""Fabrício F. Kammer"" <ffkammer em conchalnet.com.br>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
<freebsd em fug.com.br>
Sent: Tuesday, September 05, 2006 11:01 AM
Subject: Re: [FUG-BR] Controle MAC


Entrando de gaito na conversa...

Aqui amarro o IP ao MAC usando tabela ARP estática, a única coisa que vc
precisa é definir que a interface dos clientes usará tabela arp
estática: ifconfig xl0 staticarp, onde xl0 é a interface onde seus
clientes estão conectados.

[]s

Celso Viana escreveu:
> Em 05/09/06, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> 
> escreveu:
>> Celso, eu também tive algumas dúvidas sobre esse negócio de ARP... 
>> cheguei a seguinte
>> conclusão.. quando você amarra um ip a um determinado mac, não quer dizer 
>> que você não
>> possa mudar de ip, pode sim, e fica duplicado lá no arp do gateway, mas 
>> aquele ip que
>> você amarrou só pode ser usado na máquina onde está aquele mac... se você 
>> for em outra
>> máquina e tentar colocar o ip 10.10.10.10 verá que ele não consegue 
>> acessar seu
>> gateway...
>>
>> Isso resolveu um problema que eu tinha... no dansguardian eu criei 
>> excessão para uns 5
>> ips, mas o pessoal que não participava da excessão sacou que o bloqueio 
>> era por ip,
>> então na hora que os pcs sem restrição estavam desligados, eles trocavam 
>> o ip :p amarrei
>> os 5 ips ao mac, e quando eles mudam não conseguem navegar... ou seja, 
>> aquele ip só
>> acessa daquele mac.
>>
>> Espero ter sido claro.
>>
>>
>> Welkson
>>
>>
>>
>>
>>> 2006/9/5, m3 BSD <m3.bsd.mania em gmail.com>:
>>>> Cara... usa soh o ipfw mesmo
>>>> mas veja bem, vc precisa acertar umas sysctl que nao me lembro de
>>>> cabeca agora, e prestar bem a atencao para criar as regras do ipfw
>>>>
>>>> Por exemplo:
>>>>
>>>> Digamos que vc quer amarrar o MAC 11:11:11:11:11:11 ao ip 1.1.1.1
>>>> eu faco assim:
>>>>
>>>> ipfw add 100 allow all from 1.1.1.1 to any MAC any 11:11:11:11:11:11
>>>> ipfw add 101 allow all from any to 1.1.1.1 MAC 11:11:11:11:11:11 any
>>>> ipfw add 102 deny all from any to any MAC 11:11:11:11:11:11 any
>>>> ipfw add 103 deny all from any to any MAC any 11:11:11:11:11:11
>>>>
>>>> 2006/9/5, Rafael Simão <rafajsp em gmail.com>:
>>>>> Bom dia,
>>>>> Estou com a seguinte dúvida !
>>>>> Eu tenho 2 BSD gateways em minha rede, ambos conectados ao Velox 
>>>>> (Telemar, 2
>>>>> links), um deles está configurado com SQUID e IPFW e o outro apenas 
>>>>> com IPFW
>>>>> e neste eu gostaria de fazer um controle por MAC para determinar quem 
>>>>> irá
>>>>> acessar a Internet.Então eu pergunto:
>>>>> Seria editar a tabela arp apontando para um arquivo (arp -f)e após 
>>>>> isso
>>>>> bloquear via IPFW ?
>>>>> Apenas bloquear via IPFW ?
>>>>> Eu estava lendo a respeito do IPFW2, eu compilei as opções no Kernel e 
>>>>> não
>>>>> consigo habilitar o mesmo !
>>>>>
>>>>> Grato,
>>>>> Rafael Simão
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>
>>>> --
>>>> Atenciosmente
>>>>
>>>> Mario Augusto Mania <m3BSD>
>>>> -----------------------------------------------
>>>> m3.bsd.mania em gmail.com
>>>> Cel.: (43) 9938-9629
>>>> Msn: mario em oquei.com
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>> Pegando uma carona na thread, tentei amarrar um endereço IP ao MAC 
>>> usando "arp"
>>>
>>> arp -s 10.10.10.10 00:0c:6e:1c:c1:65 (gateway)
>>>
>>> depois fui na máquina e mudei o IP para 10.10.10.100
>>>
>>> fui verificar no gateway e verifiquei que tinha os 2 IP's com o mesmo
>>> MAC; o que posso ter feito errado?
>>>
>>> --
>>> Celso Vianna
>>> BSD User: 51318
>>> http://www.bsdcounter.org
>>>
>>> 63 8404-8559
>>> Palmas/TO
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Welkson,
>
> Tava tentando amarrar o IP ao MAC com o arp; só que tem esse
> problema... amarrei o IP "A" ao MAC "B"... aí fui na maquina, mudei o
> IP e naveguei normalmente... aí fica a dúvida: é possível amarrar IP
> ao MAC usando arp?
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 



Mais detalhes sobre a lista de discussão freebsd