+ Responder ao Tópico



  1. #1

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Pessoal olha só tem como fazer uma regra no iptables que diga que o
    MAC: 40:xx:xx:xx:xx:f1 só pode navegar se ele tiver o ip 192.168.1.24.

    Algo mas ou menos assim:

    iptables -A INPUT -m mac --mac-source 00:f3:89:2e:4c:66 -p TCP --syn -s 192.168.1.24 -j ACCEPT

    Minha regra padrão de INPUT é DROP e minha intenção é evitar que alguem da rede mude de ip ou coloque alguma maquina não autorizada para navegar, casando o ip com o mac dificulta e muito a vida do cara não acham?

    Ele tem q acertar o ip e o mac permitidos certinho para tentar fazer algo... é muito dificil acertar o par(IP+MAC) pq se ele acertar o ip mas o mac não casar não funciona, se ele forjar o mac mas errar o ip q casa com aquele mac tb não funciona...ai ele ta ferrado..rsrs

    Grato desde já pela atenção.

  2. #2

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Acho q isso resolve o seu problema, só q vc tem fazer isso para todos os seus ips da rede mesmo q eles naum estejam sendo usados.

    Se determinado ip naum estiver sendo usado coloca mac ficticio pra ele, nas regras de iptables.


    iptables -F
    iptables -t nat -F
    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.24 -m mac --mac-source 00:f3:89:2e:4c:66 -j ACCEPT
    iptables -t filter -A FORWARD -d 192.168.1.24 -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.24 -o eth0 -j MASQUERADE
    iptables -t filter -A INPUT -s 192.168.1.24 -d 0/0 -m mac --mac-source 00:f3:89:2e:4c:66 -j ACCEPT
    iptables -t filter -A OUTPUT -s 0/0 -d 192.168.1.24 -j ACCEPT

    Espero ter ajudado

  3. #3

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Essa regra abaixo deve estar presente no seu script de firewall pra q as outras regras q liberam o acesso pro cliente tenham efeito, com essa regra presente no firewall possibilita que vc possa jogar as regras de acesso em outro local fazendo assim com que seu script de firewall nao fique enorme sendo que vc tera que criar 4 linhas de codigo pra cada cliente !!!

    iptables -P FORWARD DROP

    Valeu galera!!!

  4. #4

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Po mano assim o FW vai ficar enorme..tem que fazer regras para os ips que não uso tb?????

  5. #5

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Tem sim, pq se naum o usuario muda o ip para um de sua rede q nao esta em uso e navega sem problemas, ja q naum tem regras para esse ip/mac.

    Usa um arquivo para armazenar os ips e os macs, q fica enxutinho...



  6. #6

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Ih tah viajando, não precisa ter as regras mesmo pra IP que não quer navegar... basta usar:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP

    e só liberar o par IP e MAC que quiser...

    Ah sim, FORWARD e INPUT só se você fizer proxy transparente, pois se a ideia for apenas liberar a navegacao em um proxy nao transparente basta fazer para INPUT mesmo.

  7. #7

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Tem um post aqui no forum falando sobre amarrar o mac+ip atraves do arp, o comando se nao me engano e arp -f /arquivo com ip e mac.

    Da um seek ai.

  8. #8

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Citação Postado originalmente por oyama
    Tem um post aqui no forum falando sobre amarrar o mac+ip atraves do arp, o comando se nao me engano e arp -f /arquivo com ip e mac.

    Da um seek ai.
    Mano to usando o esquema do ARP mas a tabela arp fica enorme e qndo quero saber quem está navegando pelo arp -a ele mostra todos os ips setados no arquivo /etc/ethers e não apenas os ips que estão ligados naquele momento.
    Existe uma maneira de eu saber quem está navegando sem ser pelo arp -a??

  9. #9

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Lacier amigao da uma olhada nas regras que seguem abaixo:

    #Bloqueia acesso de todos nao cadastrados
    iptables -P FORWARD DROP

    #liberando acesso para 10.0.1.2
    iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
    iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
    iptables -A FORWARD -d 10.0.1.2 -j ACCEPT

    Obs:Lembrando q para o micro navegar na net ele tera que ser liberado por essas regras os ip que nao possuirem essas regras nao terao permissao !!!

    Valeu

  10. #10

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Cara no www.zago.eti.br tem um script de firewall que faz o que vc quer, vc precisa apenas ter um arquivo com os ips e macs que vc quer liberar que ele le o arquivo e faz as regras.

    Dá uma olhada lá ou procura no www.google.com.br por par+ip+mac que vc vai encontrar.

    Eu já utilizei uma vez e funciona blz.

  11. #11

    Padrão IP amarrado ao MAC para navegar com Iptables.

    tenho 2 clientes q estao atraz de um equipamento wireless Wlan e o mesmo nao repassa o mac do cliente, nesse caso devo criar essa regra e pro mesmo mac colocar 2 ip diferentes? obrigado.

  12. #12

    Padrão IP amarrado ao MAC para navegar com Iptables.

    Eu fiz assim e funcionou filé:

    # Controle de acesso IP X MAC
    iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.12 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
    iptables -t filter -A FORWARD -d 192.168.1.12 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 192.168.1.12 -d 0/0 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.12 -o eth1 -j MASQUERADE

    iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.15 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
    iptables -t filter -A FORWARD -d 192.168.1.15 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 192.168.1.15 -d 0/0 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.15 -o eth1 -j MASQUERADE

    Obrigado a todos pela atenção neste post.
    OBS: Fiz pela talela arp também funcionou legal mas eu uso as informações do arp para outras coisas por isso que prefiri o iptables.

    Abraço em geral

  13. #13
    Mitnicks
    Visitante

    Padrão eu tenho um scrip para isso

    me chame no msn q eu tenho um script para isso

  14. #14

    Padrão IP amarrado ao MAC para navegar com Iptables.

    iptables -t nat -A POSTROUTING -s $ip -j MASQUERADE
    iptables -A FORWARD -s $ip -m mac --mac-source $mac -j ACCEPT
    iptables -A FORWARD -d $ip -j ACCEPT
    iptables -A INPUT -s $ip -m mac --mac-source $mac -j ACCEPT
    iptables -A INPUT -d $ip -j ACCEPT

    eu uso assim, isso amarra o ip ao mac, testei todas as fraudes possives, soh nao eh efetivo contra mac cloning neh, ae soh autenticacao com user/senha mesmo.