Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    clistenis
    Visitante

    Padrão Trancar IP ao MAC

    Infelizmente eu não sei o que está acontecendo meu amigo......

    Troquei de posição a linha de repasse de pacotes

    echo 1 > /proc/sys/net/ipv4/ip_forward

    tudo bem não deu mais o erro nele mais continuou o outro...
    'sbin/firewall: line 15: syntax error near unexpected token `in
    'sbin/firewall: line 15: `case $1 in


    Sinceramente não estou entendendo....

  2. #22
    Kernel-Panic
    Visitante

    Padrão Trancar IP ao MAC

    Citação Postado originalmente por clistenis
    Infelizmente eu não sei o que está acontecendo meu amigo......

    Troquei de posição a linha de repasse de pacotes

    Sinceramente não estou entendendo....
    ei brother... como assim trocou de posição ... ???
    posta ae as modificações q vc fez no script ... porq se vc so copiou do jeito q ta la .. tem q funcionar..

    a linha aode vc indica aonde ta programa esta correta???
    PROGRAMA=/o-seu-dir-aonde-ta-o-seu-script/



  3. #23
    clistenis
    Visitante

    Padrão Trancar IP ao MAC

    eu apenas alterei a posição da linha de repasse de pacotes para baixo... ele não deu mais o erro dela porem continuou com o erro da linha 15

    Será que pode ser em função do meu SO ?

  4. #24
    Visitante

    Padrão Trancar IP ao MAC

    Neste caso, é melhor vc fazer o bloqueio não por IP mas por MAC



  5. #25

    Padrão Trancar IP ao MAC

    Citação Postado originalmente por Anonymous
    Neste caso, é melhor vc fazer o bloqueio não por IP mas por MAC
    Discordo um pouco, de qualquer modo é melhor fazer a troca por par IP/MAC respectivos, pois se o cara fizer mac spoffing ele não consegue acessar se o IP estiver em uso, já se o bloqueio for feito só por MAC fica fácil pro cara entrar na rede.

  6. #26

    Padrão IPTABLES

    Citação Postado originalmente por Anonymous
    Falha minha,

    A pergunta é a seguinte:

    Tenho um Provedor de Internet Predial, estou usando IP estático no PC dos assinantes, quando eu atribuir um determinado IP para o usuário, gostaria que ele só use a internet com esse IP, do contrário tenha o acesso negado, qual artifício eu uso para tal coisa?

    Obrigado e desculpa pela confusão!!

    RedHat 9.0
    Caro Colega, você pode amarrar o ip ao mac do cliente usando iptables, basta criar uma lista com as macs e os ips referentes, abaixo vai um script que uso aqui para fazer o esquema.

    FIREWALL
    -----------------------------------------------------------------------------------
    #!/bin/sh
    #
    # This script will be executed *after* all the other init scripts.
    # You can put your own initialization stuff in here if you don't
    # want to do the full Sys V style init stuff.

    #Usuario IP Atorizados a Acessar Internet
    ## Carregando modulos
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_irc
    modprobe ip_nat_irc
    modprobe ip_tables
    modprobe ipt_state
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ipt_limit
    modprobe ipt_LOG
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE
    modprobe ipt_mac

    IPT=iptables
    PROGRAMA=/etc/firewall
    NET_IFACE=eth0
    LAN_IFACE=eth1
    MACLIST=/etc/maclist
    echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    $IPT -X
    $IPT -F
    $IPT -t nat -F
    $IPT -t nat -X
    $IPT -t filter -P FORWARD DROP
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then

    $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    #$IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT
    $IPT -t nat -A PREROUTING -s $IPSOURCE -m mac --mac-source $MACSOURCE -p tcp --dport 80 -j REDIRECT --to-port 8080

    # Se for = b então bloqueia o MAC
    else
    $IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
    fi
    done

    ###############
    ## Proteção ###
    ###############
    #Acabando com sessoes mortas
    #$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
    #--log-level DEBUG --log-prefix 'IPT INPUT packet died: '
    #Evitando syn-floods
    #$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    #Travando pings da morte
    #$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    #Bad TCP packets
    #$IPT -N bad_tcp_packets
    #$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
    #--log-prefix 'New not syn:'
    #$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
    ##Vamos evitar scans do tipo "porta destino = porta origem"
    #for i in `netstat -na|grep '*'|grep tcp|tr -s " "|cut -d " " -f 4|tr -s ":" " "|
    #awk '{print $NF}'|sort|uniq`
    #do
    # $IPT -A INPUT -p tcp --sport $i --dport $i -j LOG --log-level DEBUG --lo
    #g-prefix 'IPT src port eq dst port: '
    # $IPT -A INPUT -p tcp --sport $i --dport $i -j DROP
    #done

    #Bloqueio de spywares
    #for SPY in `cat $PROGRAMA/bloqueios/*|grep -v ^#|grep -v ^$|cut -d : -f1`
    #do
    # $IPT -A INPUT -s $SPY -j DROP >/dev/null 2>/dev/null
    #done

    #matando P2P come-banda
    #iMesh
    #$IPT -A FORWARD -d 216.35.208.0/24 -j REJECT
    ##BearShare
    #$IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    #ToadNode
    #$IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    #WinMX
    #$IPT -A FORWARD -d 209.61.186.0/24 -j REJECT
    #$IPT -A FORWARD -d 64.49.201.0/24 -j REJECT
    #Napigator
    #$IPT -A FORWARD -d 209.25.178.0/24 -j REJECT
    #Morpheus
    $IPT -A FORWARD -d 206.142.53.0/24 -j REJECT
    $IPT -A FORWARD -p TCP --dport 1214 -j REJECT
    #KaZaA
    # $IPT -A FORWARD -d 213.248.112.0/24 -j REJECT
    # $IPT -A FORWARD -p TCP --dport 1214 -j REJECT
    # for IP in `cat /$PROGRAMA/bloqueios/ip-kazaa-10.txt`
    # do
    # $IPT -A FORWARD -i $NET_IFACE -d $IP -j DROP
    # done
    #Limewire
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    #Audiogalaxy
    $IPT -A FORWARD -d 64.245.58.0/23 -j REJECT
    #GNUTella
    $IPT -A FORWARD -p tcp --dport 6346 -j REJECT
    #eDonkey
    $IPT -A FORWARD -p tcp --dport 4661:4662 -j REJECT
    $IPT -A FORWARD -p udp --dport 4665 -j REJECT
    ## Bloqueio Triono
    $IPT -A INPUT -p TCP -s 0/0 --dport 27444 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 --dport 31335 -j DROP
    ## Proteção contra SYN-FLOOD
    #$IPT -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    #Contra Port scanners avancados (nmap)
    #$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
    #$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    # Log a portas proibidas e alguns backdoors
    #Porta FTP
    #$IPT -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP"
    #Porta Wincrash
    #$IPT -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"
    #Portas BackOrifice
    #$IPT -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice"

    ## Serviços Diversos
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 113 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 113 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 520 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 520 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 500 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 500 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1001 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 1001 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1002 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 1002 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 68 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 68 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 123 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 123 -j DROP
    #$IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 20 -j DROP
    #$IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 20 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 37 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 37 -j DROP
    $IPT -A INPUT -p TCP -s 0/0 -d 0/0 --dport 775 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 775 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 23 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 113 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 113 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 520 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 520 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 500 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 500 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 1001 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 1001 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 1002 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 1002 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 68 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 68 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 123 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 20 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 20 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 37 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 37 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 775 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 775 -j DROP
    $IPT -A OUTPUT -p TCP -s 0/0 -d 0/0 --dport 23 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 23 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 67 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 137 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 137 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 138 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 138 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 161 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 1025 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 1025 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 1155 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 1155 -j DROP
    $IPT -A INPUT -p UDP -s 0/0 -d 0/0 --dport 3130 -j DROP
    $IPT -A OUTPUT -p UDP -s 0/0 -d 0/0 --dport 3130 -j DROP
    #
    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    $IPT -X
    $IPT -F
    $IPT -Z
    $IPT -t nat -F
    $IPT -t nat -X
    #$IPT -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac


    ARQUIVO DAS MACS (maclist)
    -------------------------------------------------------------------------------------
    a;00:E0:06:09:55:66;10.1.1.2;user1
    a;00:80:C8:00:17:70;10.1.1.4;user2
    a;00:80:C8:00:17:32;10.1.1.3;user3

    obs: SE O CARA MUDAR O IP É PAU NA CERTA, VAI PARAR DE FUNCIONAR.



  7. #27

    Padrão Trancar IP ao MAC

    Olá

    Aqui funciona da seguinte forma

    Quando o cara trocar o IP, o roteador simplismente não roteia seu pacote.

    Faço isso usando o iptables:

    # iptables -A FORWARD -s ! 10.10.10.5 -m mac --mac-source 00:C0F:EA:22:71 -j DROP

    Essa linha faz com que o roteador jogue fora qualquer pacote a se rotear que venha do mac-address 00:C0F:EA:22:71 e não seja o IP 10.10.10.5...
    ou seja, se o cara mudar o IP dele ele nao navega nem com reza-brava !

    Espero ter ajudado...

  8. #28
    Visitante

    Padrão Trancar IP ao MAC

    Citação Postado originalmente por 1c3_m4n
    oq vc quer dizer com trancar? bloquear?
    vc quer q um determinado IP seja atribuido o MAC X?