2003-08-28, 20:28 -0300, Pedro Ivo Lima: > Olá Pessoal, > > Estou tendo problemas p/ criar um tipo de controle de IPxMAC que > somente permita acesso ao servidor DHCP se tiver aquele IP definido no > /etc/dhcpd.conf e amarrado ao MAC definido p/ aquele IP. Não entendi. Você quer que o cliente tenha um determinado IP para poder acessar o DHCP??? Mas isso é um paradoxo. Um cliente de DHCP geralmente não tem IP nenhum, manda pergunta pro DHCP qual IP este está dando e seta como o DHCP disse. O que dá pra fazer e configurar o DHCPd para dar sempre o mesmo IP (fixo) para determinado MAC. Assim o seu cliente vai ter sempre o mesmo IP. > O detalhe na solução tb não é somente p/ acesso ao DHCP, pois se o > usuário configurar manualmente um IP válido na rede em questão ele tb > fará parte da mesma, então além do controle no DHCP, preciso que o > usuário somente tenha acesso aos serviços e à rede se o seu MAC também > for cadastrado na rede, ou seja, um acesso bem restrito e mais seguro. Configurando o IP manualmente ou via DHCP não faz diferença, e sem dá pra ver essa diferença se o IP for o mesmo. Então na verdade não importa se foi de um jeito ou de outro. O que deve ser feito é umas regras de iptables para deixar que só pacotes onde o IP:MAC estão tenham acesso aos servidores. > Como implementar isso através do netfilter. Através do iptables > geraria um transtorno maior, pois precisaria criar uma tabela externa > p/ validar os IPs. Gostaria de algo que facilitasse a admnistração e > tivesse poucos passos na configuração de novos usuários. netfilter == iptables. Pra solucionar mesmo isso você teria que ter uma DMZ, onde tem uma firewall entre sua LAN e os servidores e entre a Internet e os servidores. Imaginando que você só tenha uma LAN e um gateway/firewall. Colocando as regras no gateway, para cada cliente o seguinte: iptables -P FORWARD DROP (uma vez só) iptables --append FORWARD --jump ACCEPT --match mac --mac-soure \ 00:00:00:00:00:00 --source 69.69.69.69 Isso vai permitir apenas os PCs que tenham o IP:MAC em ordem usar a internet. Porém o tráfego na sua rede ainda será permitido, mesmo com IP:MAC errados. Para isso você teria que ter como eu disse um firewall para seus servidores. Só uns 0,02€ Claudio -- +- .''`. ---| Dipl.-Inf. Univ. Claudio Clemens |------| Sid |---------+ | : :' : asturio at gmx.net GNU/Linux User #79942 | | `. `' Now at TU-München | Informatik VI | | `- "YE GODS, I HAVE FEET??!" <- Userfriendly | Eu não entendi nada, mas concordo com você!
Attachment:
pgpUDQN0J1Sb4.pgp
Description: PGP signature