[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Controle de Acesso: IPxMAC



2003-08-28, 20:28 -0300, Pedro Ivo Lima:
> Olá Pessoal,
> 
> Estou tendo problemas p/ criar um tipo de controle de IPxMAC que
> somente permita acesso ao servidor DHCP se tiver aquele IP definido no
> /etc/dhcpd.conf e amarrado ao MAC definido p/ aquele IP.

Não entendi. Você quer que o cliente tenha um determinado IP para poder
acessar o DHCP??? Mas isso é um paradoxo. Um cliente de DHCP geralmente
não tem IP nenhum, manda pergunta pro DHCP qual IP este está dando e
seta como o DHCP disse. O que dá pra fazer e configurar o DHCPd para dar
sempre o mesmo IP (fixo) para determinado MAC. Assim o seu cliente vai
ter sempre o mesmo IP.

> O detalhe na solução tb não é somente p/ acesso ao DHCP, pois se o
> usuário configurar manualmente um IP válido na rede em questão ele tb
> fará parte da mesma, então além do controle no DHCP, preciso que o
> usuário somente tenha acesso aos serviços e à rede se o seu MAC também
> for cadastrado na rede, ou seja, um acesso bem restrito e mais seguro.

Configurando o IP manualmente ou via DHCP não faz diferença, e sem dá
pra ver essa diferença se o IP for o mesmo. Então na verdade não importa
se foi de um jeito ou de outro. O que deve ser feito é umas regras de
iptables para deixar que só pacotes onde o IP:MAC estão tenham acesso
aos servidores.

> Como implementar isso através do netfilter. Através do iptables
> geraria um transtorno maior, pois precisaria criar uma tabela externa
> p/ validar os IPs. Gostaria de algo que facilitasse a admnistração e
> tivesse poucos passos na configuração de novos usuários.

netfilter == iptables. Pra solucionar mesmo isso você teria que ter uma
DMZ, onde tem uma firewall entre sua LAN e os servidores e entre a
Internet e os servidores. Imaginando que você só tenha uma LAN e um
gateway/firewall. Colocando as regras no gateway, para cada cliente o
seguinte:
iptables -P FORWARD DROP  (uma vez só)
iptables --append FORWARD --jump ACCEPT --match mac --mac-soure \
00:00:00:00:00:00 --source 69.69.69.69

Isso vai permitir apenas os PCs que tenham o IP:MAC em ordem usar a
internet. Porém o tráfego na sua rede ainda será permitido, mesmo com
IP:MAC errados. Para isso você teria que ter como eu disse um firewall
para seus servidores.

Só uns 0,02€

Claudio

-- 
+- .''`. ---| Dipl.-Inf. Univ. Claudio Clemens |------| Sid |---------+
| : :' :       asturio at gmx.net        GNU/Linux User #79942        |
| `. `'                Now at TU-München | Informatik VI              |
|   `-             "YE GODS, I HAVE FEET??!" <- Userfriendly          |
Eu não entendi nada, mas concordo com você!

Attachment: pgpuVy0tOMo2r.pgp
Description: PGP signature


Reply to: