Problema pra travar MACxIP

Galera eu preciso travar o MAC ao IP do cliente me passaram essas dois tipos de regras pra fazer isso um é assim:


iptables -t nat -A POSTROUTING -s 172.16.1.93 -d 0/0 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:40:F4:XX:XX:XX -s 172.16.1.93 -j DROP
iptables -A FORWARD -d 172.16.1.93 -j ACCEPT


e a outra assim:


iptables -t nat -A POSTROUTING -s 172.16.1.165 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s 172.16.1.165 -m mac --mac-source 00:02:2D:XX:XX:XX -j ACCEPT
iptables -A FORWARD -d 172.16.1.165 -j ACCEPT



Isso tem algum fundamento?!?!? :toim:
Como eu posso fazer isso melhor?
Se alguem poder me ajudar eu agradeço.

ahhh..detalhe eu tb preciso controlar a banda dos clientes!!!..:d

Qual a finalidade, vc quer barrar o cliente, tipo evitar que ele navegue? Se não estive com o IP correto ao qual a mec está adicionada.


Até

Aguardo respostas.

Isso resolve: https://under-linux.org/modules.php?...&sid=5018#8715

Citação:

---

Postado originalmente por darkstarlinux

Qual a finalidade, vc quer barrar o cliente, tipo evitar que ele navegue? Se não estive com o IP correto ao qual a mec está adicionada.


Até

Aguardo respostas.

---

Sim cara é isso memso!!.
Eu quero q somente os clientes cadastrados com os devidos MACs navegem!

Viu a URL q te mandei no post anterior....com ele vc vai ver como fiz aqui e funfa legal

Citação:

---

Postado originalmente por lacierdias

Viu a URL q te mandei no post anterior....com ele vc vai ver como fiz aqui e funfa legal

---

Vleu Cara!!..Vo tentar!!!
E o controle de banda dos clientes como q eu faço?? :D

Olha está aqui: http://www.vivaolinux.com.br/artigos...=1016&pagina=1

Amigo, faça as coisas de forma fácil:

apenas com dois arquivos tu resolve teu problema:

crie um arquivo chamado bloquear.sh e coloque esse conteudo:
----------------------------------------------------------------------------------
#bin/bash

for i in `cat mac.txt`; do

iptables -t nat -A PREROUTING -i eth0 -m mac --mac-source $i -j DROP

echo "O Cliente foi bloqueado com sucesso, obrigado.";

done;

--------------------------------------------------------------------
Agora crie um chamado mac.txt

dentro desse mac.txt vc informa as mac que vc não quer que navegue, informe dessa forma dentro do arquivo ex:

00:00:00:00:00:00
00:00:00:00:00:00

Ou seja uma embaixo da outra, dessa forma o cabra pega IP, mais não navega de forma alguma.

Para funcionar de um chmod +x bloquear.sh de depois execute ele ./bloquear.sh

Cara eu fiz aqui e posso dizer que barra mesmo, funciona legal.

Agora para determinar sempre o mesmo ip para um mac, use o DHCP e tá feito.

E para que a pessoa volte a navegar, limpe o conteudo do arquivo mac.txt e rode apenas o seu script de firewall e pronto. o Cliente volta a navegar.

Espero ter ajudado.

Citação:

---

Postado originalmente por darkstarlinux

Amigo, faça as coisas de forma fácil:

apenas com dois arquivos tu resolve teu problema:

crie um arquivo chamado bloquear.sh e coloque esse conteudo:
----------------------------------------------------------------------------------
#bin/bash

for i in `cat mac.txt`; do

iptables -t nat -A PREROUTING -i eth0 -m mac --mac-source $i -j DROP

echo "O Cliente foi bloqueado com sucesso, obrigado.";

done;

--------------------------------------------------------------------
Agora crie um chamado mac.txt

dentro desse mac.txt vc informa as mac que vc não quer que navegue, informe dessa forma dentro do arquivo ex:

00:00:00:00:00:00
00:00:00:00:00:00

Ou seja uma embaixo da outra, dessa forma o cabra pega IP, mais não navega de forma alguma.

Para funcionar de um chmod +x bloquear.sh de depois execute ele ./bloquear.sh

Cara eu fiz aqui e posso dizer que barra mesmo, funciona legal.

Agora para determinar sempre o mesmo ip para um mac, use o DHCP e tá feito.

E para que a pessoa volte a navegar, limpe o conteudo do arquivo mac.txt e rode apenas o seu script de firewall e pronto. o Cliente volta a navegar.

Espero ter ajudado.

---

Assim ele toma um spoof de Mac facinho..além desta forma vc ta dizendo pro sistema q qualquer mac menos os da lista navegam...acha isso seguro????
Oq ele quer fazer é dizer quem pode acessar a rede dele pq o numero de quem não pode obviamente é impossivel de se saber

Bom dia lacier.

Todo bom administrador de redes tem que conhecer o que anda pela sua rede.

Apenas uma informação.

Sua rede é livre de spoof, acho que não.

A minha com certeza não é, para ser sincero a de ninguem

A idéia é ser o mais funcional possivel.

Eu contribui com o que eu faço, para meu ambiente é totalmente funcional e seguro, porém basta ele usar a base do script e adaptar para ele se nessário.

Até

Citação:

---

Postado originalmente por darkstarlinux

Bom dia lacier.

Todo bom administrador de redes tem que conhecer o que anda pela sua rede.

Apenas uma informação.

Sua rede é livre de spoof, acho que não.

A minha com certeza não é, para ser sincero a de ninguem

A idéia é ser o mais funcional possivel.

Eu contribui com o que eu faço, para meu ambiente é totalmente funcional e seguro, porém basta ele usar a base do script e adaptar para ele se nessário.

Até

---

Amigo vi q seu script é bom..não disse q não era... só não achei funcional pq comvenhamos como vc faz para barra mac entrusos na sua rede se vc só tem uma lista de quem não pode acessar??? Vai cadastrar o mundo todo ai??
Será q um estranho com um note book pode acessar a sua rede??? Com suas regras acima pode pq ele só serve para o NAT mas nada... e o pior não impede q o notebook navegue pq ele não vai está na lista dos impedidos.
Para isso q serve o controle por mac para vc dizer quem pode acessar a sua rede e dificultar o spoof(não para resolver definitivamente). Se o cara não está na lista dos que podem...obiviamente ele não pode....Segurança é assim na duvida nega o acesso a tudo não só a Internet a sua rede tb tem q ser negada para o possivel intruso.
Mas pensa só eu digo q A, B e C podem acessar e o resto não pode...pronto...ai para completar vc amarra o mac a o Ip na INPUT e no FORWARD ai o cara para fazer um spoof vai ter a acertar o mac e o ip se não acertar não navega, não acessa a rede não faz nada... Isso sim impediria de alguem com um notebook acessar a sua rede, mas a sua regra acima só impede q a pessoa navegue isso se ela estiver na lista mas não impede de acessar a rede mesmo ela estando na lista por isso é facil fazer um spoof nestas situação a pessoa acessa a rede é só rodar um scanner e pronto.... mas a ideia é boa só não é segura.
Abraço

Galera eu vi isso aqui eu um post aki n oforum!!!
https://under-linux.org/modules.php?...wtopic&t=33026
isso da certo?
Funciona assim mesmo?? :help: [/url]

Olha está aqui: http://www.vivaolinux.com.br/artigos...=1016&pagina=1

Amigo o unico jeito de saber e tentando !!!

Vc ja fez isso tentou ????

preciso do modulo adaptador do aparelho zdx 8111sabe quem tem para venda .