Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    markcom
    Visitante

    Padrão Como amarrar IP ao MAC ?

    Pessoal como posso amarar o IP do cliente ao MAC de modo que se ele mudar o ip do micro ele perca o acesso.


    Marcelo
    [email protected]

  2. #2

    Padrão Como amarrar IP ao MAC ?

    Faça regras com base no endereço MAC (o que não adianta muito porque o cara pode fazer um MAC Spoofing), ou então você não dá privilégios na máquina para ele alterar tais configurações...


    Abraços!



  3. #3

    Padrão Re: Como amarrar IP ao MAC ?

    #Bloqueia acesso de todos nao cadastrados
    iptables -P FORWARD DROP

    #liberando acesso para 10.0.1.2
    iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
    iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
    iptables -A FORWARD -d 10.0.1.2 -j ACCEPT

  4. #4
    markcom
    Visitante

    Padrão Como amarrar IP ao MAC ?

    essa solução é para um provedor de internet a rádio, e se o usuário mudar para o ip para o de um cliente que já está liberado

    Ex01: cliente01 nao pagou, foi bloqueado. bloqueio ele pelo mac ai ele deixa de acessar. dai não adianta ele mudar o ip que nao funciona.

    Ex02: o Cliente01 contratou o ip 192.168.200.20 e esse ip está limitado a usar somente 64k, dai esse mesmo cliente tem como um amigo dono de uma empresa usando o ip 192.168.200.201 que tem contratado com nosco o serviço na velocidade de 256k, dai o mesmo espera a noite chegar quando a empresa do cliente já está fechada para usar esse ip e obter a velocidade da empresa.

    Pergunta: Como posso amarrar o cliente01: 192.168.200.20 ao mac: 00:05:12:a5:C4:Fa

    Ex03: Segurança, como a minha rede é wireless ela é bem exposta a tentativas de invasão, e a única maneira que tenho de fazer a segurança é controlando o acesso pelo mac, mas notei que o script que uso ele só faz controle do usuário que está cadastrado dos que não estão ele simplesmente deixa passar dai se o invasor liberar descobri um dos ips que estão liberados no squid ele obtem o acesso.

    PERGUNTA: como posso bloquear o acesso a todos os mac que não estão liberados? da mesma forma que o squid faz com os ips que não estão em sua lista ?


    Marcelo



  5. #5
    visitante
    Visitante

    Padrão Como amarrar IP ao MAC ?

    Edita o arquivo /etc/ethers com todos os ip's da sua rede interna, do 2 ao 254, atrelando os que são válidos (liberados) aos seus respectivos mac adresses, e colocando um mac fictício para os que você não quer que tenha acesso, ex. se sua rede for 192.168.0.0 (se quiser pode incluir o ip x mac de sua interface interna, ou seja, do gateway):

    192.168.0.2 aa:bb:cc:dd:ee:ff
    .
    .
    .
    192.168.0.254 00:11:22:33:44:55:66

    dê um arp -s e sua tabela (entrada) arp será a do arquivo acima.

    Para chamar ao rebootar, edite o arquivo /etc/rc.d/rc.local e acrescente a linha

    /sbin/arp -f /etc/ethers

    É a solução para o que você quer ...

  6. #6
    whinston
    Visitante

    Padrão q legal

    Citação Postado originalmente por visitante
    Edita o arquivo /etc/ethers com todos os ip's da sua rede interna, do 2 ao 254, atrelando os que são válidos (liberados) aos seus respectivos mac adresses, e colocando um mac fictício para os que você não quer que tenha acesso, ex. se sua rede for 192.168.0.0 (se quiser pode incluir o ip x mac de sua interface interna, ou seja, do gateway):

    192.168.0.2 aa:bb:cc:dd:ee:ff
    .
    .
    .
    192.168.0.254 00:11:22:33:44:55:66

    dê um arp -s e sua tabela (entrada) arp será a do arquivo acima.

    Para chamar ao rebootar, edite o arquivo /etc/rc.d/rc.local e acrescente a linha

    /sbin/arp -f /etc/ethers

    É a solução para o que você quer ...


    esta eh nova pra mim!!! funciona em todo tipo de lan? precisa deixar algum daemon rodando?



  7. #7

    Padrão Como amarrar IP ao MAC ?

    Citação Postado originalmente por markcom
    essa solução é para um provedor de internet a rádio, e se o usuário mudar para o ip para o de um cliente que já está liberado

    Ex01: cliente01 nao pagou, foi bloqueado. bloqueio ele pelo mac ai ele deixa de acessar. dai não adianta ele mudar o ip que nao funciona.

    Ex02: o Cliente01 contratou o ip 192.168.200.20 e esse ip está limitado a usar somente 64k, dai esse mesmo cliente tem como um amigo dono de uma empresa usando o ip 192.168.200.201 que tem contratado com nosco o serviço na velocidade de 256k, dai o mesmo espera a noite chegar quando a empresa do cliente já está fechada para usar esse ip e obter a velocidade da empresa.

    Pergunta: Como posso amarrar o cliente01: 192.168.200.20 ao mac: 00:05:12:a5:C4:Fa

    Ex03: Segurança, como a minha rede é wireless ela é bem exposta a tentativas de invasão, e a única maneira que tenho de fazer a segurança é controlando o acesso pelo mac, mas notei que o script que uso ele só faz controle do usuário que está cadastrado dos que não estão ele simplesmente deixa passar dai se o invasor liberar descobri um dos ips que estão liberados no squid ele obtem o acesso.

    PERGUNTA: como posso bloquear o acesso a todos os mac que não estão liberados? da mesma forma que o squid faz com os ips que não estão em sua lista ?


    Marcelo
    Atraves do iptables funfa legal, agora nao compra edimax 7206 ou outro radio que usa o mesmo chipset pois ele traz o mac do ap e nao do cliente.
    tem um exemplo legal ai:

    http://www.zago.eti.br/firewall/iptables-mac.txt

  8. #8
    Visitante

    Padrão Como amarrar IP ao MAC ?

    parabens ao visitante a solucao eh a mais perfeita q ja vi nao tem como burlar o server pq os mac e ips estao na tabela arp e so o server q muda hehehe perfeito adorei fazia tempo q procurava e nenhuma funcionava esse ai realmente amarra o mac x ip......



  9. #9

    Padrão Como amarrar IP ao MAC ?

    E no caso de usar esse exemplo do Visitante com o arp, como ficaria o Forward do Iptables??? Somente dar um DROP no FORWARD?

  10. #10

    Padrão Como amarrar IP ao MAC ?

    Que loco isso quero acompanhar este post.
    Como fica o arquivo bem pqno assim...
    Uma rede com 3 maquinas 192.168.0.2, 192.168.0.3, 192.168.0.4 e seus respectivos macs como faço para estas maquinas não trocarem de velocidade como foi dito acima e não mudarem os macs.
    COmo uso o exemplo do Visitante...podereia dar um exemplo mas claro...
    Desculpe minha ignorancia no assunto.
    Grato
    OBS: se cadratra Visitante pq podemos manter contato.
    Abraço



  11. #11

    Padrão Como amarrar IP ao MAC ?

    nao tenho esse arquivo /etc/ethers no debian, basta criá-lo? ou tenho que instalar algum soft a +?

  12. #12

    Padrão Ok

    Ok, aqui está o "visitante".

    Lacier, basta completar o arquivo com os ip's que estão sem usuário com um mac fictício, tipo os ip's do 5 ao 254 com mac 11:11:11:11:11:11. Os ip's dos usuários devem ser casados com os respectivos mac's de suas placas de rede.

    Se um usuário (cliente) não comparecer ($$$$$$$$$ hehehe!) é só comentar a linha do par ip x mac do mesmo e acrescentar uma outra com o ip com mac fictício, salva o arquivo e dá um arp -f . Adeus acesso!

    Jim, se não tiver o arquivo /etc/ethers, crie e edite-o conforme acima. Não precisa nenhum daemon adicional.

    Pessoal, esta solução ajuda muito, mas se um "espertinho" não autorizado entrar na rede, conseguir capturar o ip x mac de usuário, mudar o mac da placa dele para o mesmo desse usuário e configurar com o respectivo ip (tipo qdo. o usuário não estiver ligado) ele vai passar como se fosse o mesmo. Já uso essa solução há muito tempo e até hoje não tive nenhum problema desse tipo...

    Espero ter ajudado... Tamos aí...



  13. #13

    Padrão Como amarrar IP ao MAC ?

    Mano ryiades para que serve estes comando de arp????
    cara está é a parada mas louca q já vi.....achei muito foda isso...
    Pode colocar está sua parada com as regras de iptables para controlde de MAC????
    Obrigado pela atenção

  14. #14

    Padrão Como amarrar IP ao MAC ?

    ryiades,

    no caso entao basta eu colocar no meu firewall a regra para fazer o masquerade e editar o arquivo ethers que apenas os IPs que nele estão irão navegar, e apenas se estiverem usando o MAC neste arquivo determinado?



  15. #15

    Padrão Como amarrar IP ao MAC ?

    Ai mano, parabens.. dando seek no google encontrei o guia foca linux que falar sobre o arp -f, em portugues claro. bom proveito.

    o link http://focalinux.cipsga.org.br/guia/...ch-d-restr.htm

    19.7 Restrições por MAC Address/IP
    Esta proteção oferece uma barreira maior se segurança contra IPs spoofing evitando que pessoas mal intencionadas façam um IP spoofing da máquina para obter acessos privilegiados que somente o detentor original do MAC/IP teria. Recomendo não levar em consideração que isto seja a solução definitiva contra IP spoofing, pois é possível falsificar o MAC address de uma interface para tomar outra identidade.

    Este método poderá ser aplicado para fornecer um maior laço de confiança por hardware entre as máquinas que compõem uma rede de servidores. Ele também evita mesmo que uma máquina configurada de forma errônea tenha acesso indevido ao servidor ou em uma situação extrema, se torne o gateway da rede.

    Para restringir as conexões para uma máquina Linux por MAC address, utilize o firewall iptables. Com ele será permitido fazer a restrição por serviços, criando uma barreira bastante chata para crackers tentarem se conectar a um serviço. Como referência, leia a seção Especificando o endereço MAC da interface, Seção 10.6.7.

    Outra situação é a restrição por par MAC/IP usando o próprio cache arp da máquina, usando entradas estáticas de endereços. Um exemplo deste uso é quando você é extremamente paranóico ou quando uma rede que utiliza algum método de autenticação baseado no rhosts (como é o caso do sistema de backup do Amanda), então é importante dizer para as máquinas servidoras, qual o MAC address/IP privilegiado que terá o acesso ao usuário para conexão sem senha.

    O local padronizado para definir um MAC estático (e bastante desconhecido da maioria dos administradores de sistemas) é o /etc/ethers. O formato deste arquivo é o MAC Address e IP separados por espaço, cada linha com uma nova entrada de MAC Address. Veja o exemplo:

    00:03:47:AA:AA:AB www.focalinux.org.br
    00:03:47:BB:AA:BA www2.focalinux.org.br
    00:03:47:BB:AA:BB 192.168.0.1

    Caso não conheça o formato do endereço de MAC Address, os três primeiros 3 campos definem o fabricante da placa de rede, e os 3 últimos é uma identificação única do fabricante para a Placa, ou seja, NENHUMA placa de rede fabricada tem o mesmo MAC Address físico.

    Para que o comando arp crie as entradas estáticas no seu cache ARP, será necessário executar o comando arp -f /etc/ethers. Este comando poderá ser colocado em algum script ou diretório de inicialização de sua distribuição para que seja executado automaticamente (como por exemplo, no /etc/rc.boot da Debian). Digitando arp você verá as linhas definidas no arquivo /etc/ethers marcadas com as opção (flag) M (manual/permanente). Outra forma de verificar, é usando o arp -a máquina ou somente arp -a. As máquinas especificadas estaticamente (manualmente) terão o nome PERM listados (cache arp permanente).

    OBS: Como deve ter notado, a restrição por MAC Address implica em um aumento no trabalho de gerenciamento das configurações. Assim, planeje-se para que esta tarefa não seja desgastante, crie programas para realizar atualizações dinâmicas estudando a estrutura de sua rede e como suas máquinas se comunicam para não ter problemas obscuros quando tiver que fazer uma simples modificação em uma interface de rede

    Uma boa configuração restritiva requer análise sobre os impactos na rede.


    --------------------------------------------------------------------------------

    19.8 Desabilitando serviços não usados no 19.7 Restrições por MAC Address/IP
    Esta proteção oferece uma barreira maior se segurança contra IPs spoofing evitando que pessoas mal intencionadas façam um IP spoofing da máquina para obter acessos privilegiados que somente o detentor original do MAC/IP teria. Recomendo não levar em consideração que isto seja a solução definitiva contra IP spoofing, pois é possível falsificar o MAC address de uma interface para tomar outra identidade.

    Este método poderá ser aplicado para fornecer um maior laço de confiança por hardware entre as máquinas que compõem uma rede de servidores. Ele também evita mesmo que uma máquina configurada de forma errônea tenha acesso indevido ao servidor ou em uma situação extrema, se torne o gateway da rede.

    Para restringir as conexões para uma máquina Linux por MAC address, utilize o firewall iptables. Com ele será permitido fazer a restrição por serviços, criando uma barreira bastante chata para crackers tentarem se conectar a um serviço. Como referência, leia a seção Especificando o endereço MAC da interface, Seção 10.6.7.

    Outra situação é a restrição por par MAC/IP usando o próprio cache arp da máquina, usando entradas estáticas de endereços. Um exemplo deste uso é quando você é extremamente paranóico ou quando uma rede que utiliza algum método de autenticação baseado no rhosts (como é o caso do sistema de backup do Amanda), então é importante dizer para as máquinas servidoras, qual o MAC address/IP privilegiado que terá o acesso ao usuário para conexão sem senha.

    O local padronizado para definir um MAC estático (e bastante desconhecido da maioria dos administradores de sistemas) é o /etc/ethers. O formato deste arquivo é o MAC Address e IP separados por espaço, cada linha com uma nova entrada de MAC Address. Veja o exemplo:

    00:03:47:AA:AA:AB www.focalinux.org.br
    00:03:47:BB:AA:BA www2.focalinux.org.br
    00:03:47:BB:AA:BB 192.168.0.1

    Caso não conheça o formato do endereço de MAC Address, os três primeiros 3 campos definem o fabricante da placa de rede, e os 3 últimos é uma identificação única do fabricante para a Placa, ou seja, NENHUMA placa de rede fabricada tem o mesmo MAC Address físico.

    Para que o comando arp crie as entradas estáticas no seu cache ARP, será necessário executar o comando arp -f /etc/ethers. Este comando poderá ser colocado em algum script ou diretório de inicialização de sua distribuição para que seja executado automaticamente (como por exemplo, no /etc/rc.boot da Debian). Digitando arp você verá as linhas definidas no arquivo /etc/ethers marcadas com as opção (flag) M (manual/permanente). Outra forma de verificar, é usando o arp -a máquina ou somente arp -a. As máquinas especificadas estaticamente (manualmente) terão o nome PERM listados (cache arp permanente).

    OBS: Como deve ter notado, a restrição por MAC Address implica em um aumento no trabalho de gerenciamento das configurações. Assim, planeje-se para que esta tarefa não seja desgastante, crie programas para realizar atualizações dinâmicas estudando a estrutura de sua rede e como suas máquinas se comunicam para não ter problemas obscuros quando tiver que fazer uma simples modificação em uma interface de rede

    Uma boa configuração restritiva requer análise sobre os impactos na rede.


    --------------------------------------------------------------------------------

  16. #16

    Padrão Como amarrar IP ao MAC ?

    Beleza, taí a aula completa, ressalvando a parte que diz "NENHUMA placa de rede fabricada tem o mesmo MAC Address físico". Certa vez fui instalar uma rede num prédio em que, qdo um determinado morador ligava sua máquina, a do vizinho ficava sem comunicação e vice-versa. E pra achar a causa do problema? Analisando a tabela arp do gateway, descobriu-se que, por incrível que pareça, os dois moradores tinham placas de rede com mesmo mac adress. Mesmo com ip`s diferentes, quando as duas máquinas eram ligadas ao mesmo tempo, dava chabu: um ou outro ficava sem conexão. Solução? Um deles teve q trocar de placa...



  17. #17
    Visitante

    Padrão Como amarrar IP ao MAC ?

    pessoal posso criar este arquivo /etc/ethers? pq aqui tenho um script que sópermite o aceso aos ips cadastrados dentro dele... se eu usar esse arquivo amarrando ao mac.. aí ficará mais que perfeito...

  18. #18

    Padrão Como amarrar IP ao MAC ?

    Esse topico eh otimo, e parabens a todos pelo otimo nivel tecnico.

    Tenho a seguinte duvida: Como citado no inicio, tenho ap q nao repassam o mac do cliente, teria q ter nesse arquivo cadastrado um mac c/ mais de um ip? Isso resolveria? obrigado desde ja.



  19. #19

    Padrão Como amarrar IP ao MAC ?

    Vc deve cadastrar o ip pro cliente e ao inves de cadastrar o mac da placa dele vc cadastra o mac do ap isso e um problema que acontece muito quando se usa bridges linksys pois elas nao sao transparentes entao escondem tudo que esta atras delas as d-link por exemplo ja sao transparentes e vc nem precisa cadastrar elas no server apenas quem esta atras delas !!!

    Valeu espero mais um vez ter ajudado!!!

  20. #20
    Visitante

    Padrão Como amarrar IP ao MAC ?

    Citação Postado originalmente por _AGM_
    E no caso de usar esse exemplo do Visitante com o arp, como ficaria o Forward do Iptables??? Somente dar um DROP no FORWARD?
    sou gay