[FUG-BR] Controle MAC

m3 BSD m3.bsd.mania em gmail.com
Terça Setembro 5 14:22:46 BRT 2006


Veja bem
se vc adicionar a regra:

ipfw add 50000 deny all from any to any MAC any any

Vc estara bloquenando tudo mesmo... ip e mac

ae, o negocio eh vc ir liberando antes, somentes aqueles macs e ips que vc quer

por exemplo:

ipfw add 100 allow all from MEU_IP to any MAC any MEU_MAC
ipfw add 101 allow all from any to MEU_IP MAC MEU_MAC any

ae eh 100%

2006/9/5, Rafael Simão <rafajsp em gmail.com>:
> É justamente isso que eu pretendo fazer !!!
> Eu não quero que nenhum engraçadinho use meu Gateway "reservado", ou seja,
> eu quero filtrar isso logo de "cara" na interface sem precisar usar no
> Firewall, contudo ... minha "neurose" de redundância em tudo me leva a
> adicionar também no meu script de firewall !
> Eu queria na verdade que se não estivesse na tabela arp ... o fulaninho nem
> "batesse" na minha interface. À "grosso modo" é isso o que eu procuro.
> Mas considero as outras respostas e ainda me econtro em testes.
> Grato,
> Rafael Simão
>
>
> ----- Original Message -----
> From: ""Fabrício F. Kammer"" <ffkammer em conchalnet.com.br>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> <freebsd em fug.com.br>
> Sent: Tuesday, September 05, 2006 11:01 AM
> Subject: Re: [FUG-BR] Controle MAC
>
>
> Entrando de gaito na conversa...
>
> Aqui amarro o IP ao MAC usando tabela ARP estática, a única coisa que vc
> precisa é definir que a interface dos clientes usará tabela arp
> estática: ifconfig xl0 staticarp, onde xl0 é a interface onde seus
> clientes estão conectados.
>
> []s
>
> Celso Viana escreveu:
> > Em 05/09/06, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> > escreveu:
> >> Celso, eu também tive algumas dúvidas sobre esse negócio de ARP...
> >> cheguei a seguinte
> >> conclusão.. quando você amarra um ip a um determinado mac, não quer dizer
> >> que você não
> >> possa mudar de ip, pode sim, e fica duplicado lá no arp do gateway, mas
> >> aquele ip que
> >> você amarrou só pode ser usado na máquina onde está aquele mac... se você
> >> for em outra
> >> máquina e tentar colocar o ip 10.10.10.10 verá que ele não consegue
> >> acessar seu
> >> gateway...
> >>
> >> Isso resolveu um problema que eu tinha... no dansguardian eu criei
> >> excessão para uns 5
> >> ips, mas o pessoal que não participava da excessão sacou que o bloqueio
> >> era por ip,
> >> então na hora que os pcs sem restrição estavam desligados, eles trocavam
> >> o ip :p amarrei
> >> os 5 ips ao mac, e quando eles mudam não conseguem navegar... ou seja,
> >> aquele ip só
> >> acessa daquele mac.
> >>
> >> Espero ter sido claro.
> >>
> >>
> >> Welkson
> >>
> >>
> >>
> >>
> >>> 2006/9/5, m3 BSD <m3.bsd.mania em gmail.com>:
> >>>> Cara... usa soh o ipfw mesmo
> >>>> mas veja bem, vc precisa acertar umas sysctl que nao me lembro de
> >>>> cabeca agora, e prestar bem a atencao para criar as regras do ipfw
> >>>>
> >>>> Por exemplo:
> >>>>
> >>>> Digamos que vc quer amarrar o MAC 11:11:11:11:11:11 ao ip 1.1.1.1
> >>>> eu faco assim:
> >>>>
> >>>> ipfw add 100 allow all from 1.1.1.1 to any MAC any 11:11:11:11:11:11
> >>>> ipfw add 101 allow all from any to 1.1.1.1 MAC 11:11:11:11:11:11 any
> >>>> ipfw add 102 deny all from any to any MAC 11:11:11:11:11:11 any
> >>>> ipfw add 103 deny all from any to any MAC any 11:11:11:11:11:11
> >>>>
> >>>> 2006/9/5, Rafael Simão <rafajsp em gmail.com>:
> >>>>> Bom dia,
> >>>>> Estou com a seguinte dúvida !
> >>>>> Eu tenho 2 BSD gateways em minha rede, ambos conectados ao Velox
> >>>>> (Telemar, 2
> >>>>> links), um deles está configurado com SQUID e IPFW e o outro apenas
> >>>>> com IPFW
> >>>>> e neste eu gostaria de fazer um controle por MAC para determinar quem
> >>>>> irá
> >>>>> acessar a Internet.Então eu pergunto:
> >>>>> Seria editar a tabela arp apontando para um arquivo (arp -f)e após
> >>>>> isso
> >>>>> bloquear via IPFW ?
> >>>>> Apenas bloquear via IPFW ?
> >>>>> Eu estava lendo a respeito do IPFW2, eu compilei as opções no Kernel e
> >>>>> não
> >>>>> consigo habilitar o mesmo !
> >>>>>
> >>>>> Grato,
> >>>>> Rafael Simão
> >>>>>
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>
> >>>> --
> >>>> Atenciosmente
> >>>>
> >>>> Mario Augusto Mania <m3BSD>
> >>>> -----------------------------------------------
> >>>> m3.bsd.mania em gmail.com
> >>>> Cel.: (43) 9938-9629
> >>>> Msn: mario em oquei.com
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>> Pegando uma carona na thread, tentei amarrar um endereço IP ao MAC
> >>> usando "arp"
> >>>
> >>> arp -s 10.10.10.10 00:0c:6e:1c:c1:65 (gateway)
> >>>
> >>> depois fui na máquina e mudei o IP para 10.10.10.100
> >>>
> >>> fui verificar no gateway e verifiquei que tinha os 2 IP's com o mesmo
> >>> MAC; o que posso ter feito errado?
> >>>
> >>> --
> >>> Celso Vianna
> >>> BSD User: 51318
> >>> http://www.bsdcounter.org
> >>>
> >>> 63 8404-8559
> >>> Palmas/TO
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> > Welkson,
> >
> > Tava tentando amarrar o IP ao MAC com o arp; só que tem esse
> > problema... amarrei o IP "A" ao MAC "B"... aí fui na maquina, mudei o
> > IP e naveguei normalmente... aí fica a dúvida: é possível amarrar IP
> > ao MAC usando arp?
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Atenciosmente

Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania em gmail.com
Cel.: (43) 9938-9629
Msn: mario em oquei.com


Mais detalhes sobre a lista de discussão freebsd