Re: Control de acceso mediante MAC

To: Enrique Morfin <enriquemorfin@yahoo.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Control de acceso mediante MAC
From: Javier de Miguel Rodríguez <javier.miguel@optimat.com>
Date: Sun, 30 Nov 2003 16:16:56 +0100
Message-id: <[🔎] 3FCA09E8.4050204@optimat.com>
In-reply-to: <[🔎] 20031130040314.85696.qmail@web9908.mail.yahoo.com>
References: <[🔎] 20031130040314.85696.qmail@web9908.mail.yahoo.com>

Enrique Morfin wrote:

Hola:

Tengo una LAN con unas cuantas maquinas (S.O.
variados), el GW es debian.

Necesito restringir la salida de paquetes, de tal
manera que solo maquinas autorizadas puedan salir.

Creo que eso se logra mediante MAC.

En la cadena FORWARD pongo todas las direcciones MAC
de mis maquinas, si son, las mando a otra cadena mia
(firewall) para que se filtren por ip, como se esta
haciendo normalmente (mi firewall actual). Al final de
FORWARD "tiro" los paquetes que no coinciden con mis
maquinas autorizadas
Ejemplo:
iptables -I FORWARD -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j mifirewall
iptables -A FORWARD -j DROP


Es correcto esto? Necesito hacer lo mismo en INPUT?

Necesitas hacerlo en input sólo si vas a controlar cosas que vayan alpropio FW.

Que tanto se degrada el rendimiento conforme aumenta
el numero de maquinas?

Alguien tiene idea del "trougput"?
Que tanto mejora si meto iptables al kernel, en lugar
de tenerlo como modulo? (Es una ganancia subsatncial o
ni vale la pena recompilar el kernel)

Por el momento solo hay unas 10 maquinas en la red,
pero puedo llegar a necesitarlo para otras redes mas
grandes (unas 200 o 220 maquinas) y que tengan que
pasar por 220 cadenas antes de siquiera llegar al
firewall creo que podria afectar el desempe?o de la
red.

Yo tengo un pentium III a 800 con 6500 reglas de cortafuegos, con dosdmzs y 1200 usuarios, enchufado a una línea de 34 mbps con inet y lapérdida de rendimiento es mínima. Eso sí, si metes más servicios en elFW (IDS, squid, VPN) la cosa se desmadra... pero simplemente de fw constateful inspection no consume demasiado (ojo que hay que poner ramsuficiente que en connection tracking son cerca de 300 bytes porconexión, con 512 megas deberías poder aguantar 300-400 usuarios sisólos haces fw con una línea no demasiado bruta (10 mbps o menos)


   Ya nos cuentas

   Saludos
es mínima

O existe otra forma mas rapida y eficiente para
controlar por medio de MAC?
Si son muchas maquinas (o mucho trafico), que tanto se
degrada la calidad de servicio?
Oviamente esto depende de la cantidad de trafico y de
las capacidades del GW, pero alguien tiene una idea de
las proporciones de degradacion de servicio, cantidad
de trafico y capacidades del GW?


Gracias.

__________________________________
Do you Yahoo!?
Free Pop-Up Blocker - Get it now
http://companion.yahoo.com/

Reply to:

References:
- Control de acceso mediante MAC
  - From: Enrique Morfin <enriquemorfin@yahoo.com>

Prev by Date: sonido
Next by Date: Problema con disquettera
Previous by thread: Control de acceso mediante MAC
Next by thread: Re: Control de acceso mediante MAC
Index(es):
- Date
- Thread