Re: Galera, bloquear acesso das maquinas no servidor
2008/7/18 gunix <gustavo.grupos@gmail.com>:
> Na verdade eu quero forçar. e dizer que o mac XXXX tem que ter
> obrigatoriamente o IP YYYYY.
> Usando o ARP eu digo o seguinte:
>
> MAC IP
> 00:11:3e:dd:ff:44 1.1.1.1
> 11:22:11:f4:dd:67 1.2.1.1
>
> OU seja, rodo um scipt que faz a checagem. Se o ip nao for cadastrado ele
> preenche o ip com MAC 00:00:00:00:00:00
> Sendo assim se o cara da estacao tentar mudar o IP dele ele nao vai ter
> acesso ao server nem para pingar. Sua conecao vai ser rejeitada.
>
> Se os MAC estiverem liverados ai sim ele vai ter acesso aos serviços d
> servidor.
> Este tipo de bloqueio que to procurando.
> Eu uso o ARP, porem quero saber se possui algo mais pratico e com tal
> finalizada.
>
> No iptables nao to conseguindo achar uma opçào que bloqueie da forma que eu
> quero.
> Se eu liberar no firewall iptables -t filter -A INPUT -m mac --mac-source
> 00:11:11:22:33:44 -j ACCEPT
>
> o cara passa a ter acesso total ao firewall sem bloqueios. Com o ARP ele
> passa a ter acesso ao server, mas com os cloqueiois devidos do firewall.
>
> Fui claro?
>
> Att
> Gustavo
Hum... Considerando que a tua policy para o INPUT seja DROP.
Porque você não inclui regras do tipo abaixo logo no início:
-A INPUT -m mac --mac-source 00:11:11:22:33:44 -s ! 192.168.0.xxx -j DROP
Assim, a primeira coisa que você faz nas tuas regras é bloquear tudo
que vem de certo MAC (considerando que este não muda) com o IP
diferente daquele que você espera.
Daí, se vier com o IP certo, essa regra não vai bater, permitindo que
as seguintes (tuas restrições quaisquer) sejam aplicadas.
Daí você pode incluir os conjuntos MAC/IP num arquivo texto, e inserir
as regras dinamicamente com um laço for.
( Note que, na maioria das vezes, regras de DROP pra chains com policy
DROP não fazem sentido, mas nesse caso sim, porque você está forçando
a parada do processamento das regras, pra não ter que fazer essa
verificação em cada uma das regras seguintes. )
Ajudou ?
Reply to: