+ Responder ao Tópico



  1. #1

    Padrão Isolar máquina estranha

    Bom, minha rede é servida por um servidor dhcp, onde todas as máquinas recebem um ip fixo atribuido por mac, assim sendo se algum pc externo, por exemplo um notebook se conectar na minha rede não será atribuido a ele um ip, por tabela, ele não vai entrar na minha rede, mas, se configurar um ip fixo na mesma faixa de ip da minha rede ele vai entrar? Pq pingar pinga, e minha dúvida é exatamente essa, quero q quando um pc estranho conectar o cabo de rede, ele fique totalmente isolado, não consiga nem pingar, isso é feito no dhcp, no squid ou no iptables, ou em outro lugar?

    Obrigado

  2. #2

    Padrão

    Uma solução é fazer a filtragem direto por MAC, já que você aparentemente sabe o MAC dos computadores "confiáveis".
    Dessa forma, toda vez que um computador estranho (ou seja, um MAC desconhecido) entrar na sua rede, a sua firewall blokeará o acesso.

    Nunca tive a oportunidade de implementar esse tipo de filtragem, por tanto é tudo que eu posso dizer no momento

    Até mais



  3. #3

    Padrão #moderaÇÃo

    Topico movido para o forum Redes/Protocolos

  4. #4

    Padrão

    Você pode bloquear também por ip, o que é bem mais simples, e será a mesma coisa pois todos os ip's estão associados a MAC's certo?!

    Cria várias regras permitindo os IP's que vc conhece e no final põe uma bloqueando todos. Assim ele pode até atribuir um IP mas não vai navegar. Só tem um problema: Isso só bloqueia navegação, ele pode acessar tudo o que não é encaminhado pelo seu server.

    Para acabar com isso, fecha a máscara do seu DHCP,desse jeito, mesmo que ele vá acessar uma máquina com um ip proximo ao dele,ele vai ter que envia para o seu server rotear.

    Espero que ajude...



  5. #5

    Padrão

    Teoricamente a mesma coisa, mas eh muito mais fácil alguém 'roubar' o ip do que falsificar uma palca de rede com o MAC...apesar de também ser possível e relativamente trivial

  6. #6

    Padrão

    Concordo, é fácil roubar um IP. É bem mais difícil achar alguém que altere o MAC de uma placa.

    Eu havia me referido que era mais simples devido a sintaxe do iptables para bloqueio de MAC. Pode ser bobeira minha mas eu acho bem mais intuitivo e simples o bloqueio por ip.

    Abaixo um link de iptables que eu considero muito bom:
    Guia Foca GNU/Linux - Firewall iptables



  7. #7

    Padrão

    Oi Magnun, obrigado por ter atentido meu apelo, mas, eu sou iniciante, vc poderia se possível ser mais detalhista, como um exemplo; eu não entendi se vc tá falando em bloquear com iptables ou no proprio dhcp? Por favor, um exemplo seria perfeito!

    Obrigado

  8. #8

    Padrão

    Ok, consideremos que existem 2 hosts (10.1.100.2 e 10.1.100.3), o server DHCP (10.1.100.254) e o gateway dos seus hosts (10.1.100.1) que provê acesso a internet. Estou distingundo o servidor DHCP do gateway pois se for esta a sua topologia e eu explicar como se o gw e o dhcp fossem o mesmo poderia ficar confuso para você adaptar à sua necessidade.

    1ª etapa: Configurar regras de permissão (Feita no GateWay)
    Permitir que os hosts 10.1.100.2 e 10.1.100.3 tenham acesso ao seu GateWay
    iptables -A INPUT -d 10.1.100.1 -s 10.1.100.2 -j ACCEPT
    iptables -A INPUT -d 10.1.100.1 -s 10.1.100.3 -j ACCEPT

    Permitir que pacotes dos hosts 10.1.100.1 e 10.1.100.3 sejam encaminhados pelo GateWay
    iptables -A FORWARD -s 10.1.100.2 -j ACCEPT
    iptables -A FORWARD -s 10.1.100.3 -j ACCEPT

    2ª etapa: Configurar bloqueios (Feita no GateWay)
    Bloqueia todos os outros IP's a terem acesso ao seu GateWay
    iptables -A INPUT -d 10.1.100.1 -j DROP

    Bloquear que os pacotes de todos os outros IP's sejam encaminhados pelo seu GateWay
    iptables -A FORWARD -j DROP


    Essa configuração, como havia explicado, limita o acesso à internet dos hosts não especificados e também previne que os mesmos tenham acesso ao GateWay. Mas nada impede de alguém que tem acesso à rede tente acessar o GateWay e configurar uma regra de para permitir que o note dele navegue, por isso talvez seja interessante pensar bem em quais hosts você deve permitir o acesso ao GateWay.

    Mas mesmo com essas configurações nada impede que o um notebook seja configurado manualmente com o ip 10.1.100.4 e caso isso seja feito este notebook terá acesso às pastas compartilhadas em 10.1.100.2 e 10.1.100.3. Se você quiser bloquear isto também é necessário uma configuração extra no seu DHCP (10.1.100.254). Nas configurações da máscara anunciada é necessário colocar o final .252 dessa forma todos os hosts estarão em subredes diferentes sendo necessário o encaminhamento pelo GateWay porém, para os hosts não adicionados na tabela de FORWARD, isto estará bloqueado. Com isto o notebook estará realmente "isolado" da rede.

    Só tem um problema, faz muito tempo que eu conigurei DHCP e não me lembro direito o arquivo... Mas isso é fácil de descobrir...

    Lembrando que caso você queira adicionar mais algum host você deve por a regra respectiva a este acima da regra de bloqueio e serão necessárias regras de INPUT E FORWARD caso você queira permitir ambos.
    Para isso basta utilizar ao inves de -A o -I, desta forma a nova regra será posta acima de todas as outras.


    Espero que tenha ajudado...

    OBS: Se alguém encotrar algum erro nas configurações de iptables favor notificar



  9. #9

    Padrão

    Cara, vc deu uma aula, valeu mesmo!!!