Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Concordo, é fácil roubar um IP. É bem mais difícil achar alguém que altere o MAC de uma placa.

    Eu havia me referido que era mais simples devido a sintaxe do iptables para bloqueio de MAC. Pode ser bobeira minha mas eu acho bem mais intuitivo e simples o bloqueio por ip.

    Abaixo um link de iptables que eu considero muito bom:
    Guia Foca GNU/Linux - Firewall iptables

  2. Oi Magnun, obrigado por ter atentido meu apelo, mas, eu sou iniciante, vc poderia se possível ser mais detalhista, como um exemplo; eu não entendi se vc tá falando em bloquear com iptables ou no proprio dhcp? Por favor, um exemplo seria perfeito!

    Obrigado



  3. Ok, consideremos que existem 2 hosts (10.1.100.2 e 10.1.100.3), o server DHCP (10.1.100.254) e o gateway dos seus hosts (10.1.100.1) que provê acesso a internet. Estou distingundo o servidor DHCP do gateway pois se for esta a sua topologia e eu explicar como se o gw e o dhcp fossem o mesmo poderia ficar confuso para você adaptar à sua necessidade.

    1ª etapa: Configurar regras de permissão (Feita no GateWay)
    Permitir que os hosts 10.1.100.2 e 10.1.100.3 tenham acesso ao seu GateWay
    iptables -A INPUT -d 10.1.100.1 -s 10.1.100.2 -j ACCEPT
    iptables -A INPUT -d 10.1.100.1 -s 10.1.100.3 -j ACCEPT

    Permitir que pacotes dos hosts 10.1.100.1 e 10.1.100.3 sejam encaminhados pelo GateWay
    iptables -A FORWARD -s 10.1.100.2 -j ACCEPT
    iptables -A FORWARD -s 10.1.100.3 -j ACCEPT

    2ª etapa: Configurar bloqueios (Feita no GateWay)
    Bloqueia todos os outros IP's a terem acesso ao seu GateWay
    iptables -A INPUT -d 10.1.100.1 -j DROP

    Bloquear que os pacotes de todos os outros IP's sejam encaminhados pelo seu GateWay
    iptables -A FORWARD -j DROP


    Essa configuração, como havia explicado, limita o acesso à internet dos hosts não especificados e também previne que os mesmos tenham acesso ao GateWay. Mas nada impede de alguém que tem acesso à rede tente acessar o GateWay e configurar uma regra de para permitir que o note dele navegue, por isso talvez seja interessante pensar bem em quais hosts você deve permitir o acesso ao GateWay.

    Mas mesmo com essas configurações nada impede que o um notebook seja configurado manualmente com o ip 10.1.100.4 e caso isso seja feito este notebook terá acesso às pastas compartilhadas em 10.1.100.2 e 10.1.100.3. Se você quiser bloquear isto também é necessário uma configuração extra no seu DHCP (10.1.100.254). Nas configurações da máscara anunciada é necessário colocar o final .252 dessa forma todos os hosts estarão em subredes diferentes sendo necessário o encaminhamento pelo GateWay porém, para os hosts não adicionados na tabela de FORWARD, isto estará bloqueado. Com isto o notebook estará realmente "isolado" da rede.

    Só tem um problema, faz muito tempo que eu conigurei DHCP e não me lembro direito o arquivo... Mas isso é fácil de descobrir...

    Lembrando que caso você queira adicionar mais algum host você deve por a regra respectiva a este acima da regra de bloqueio e serão necessárias regras de INPUT E FORWARD caso você queira permitir ambos.
    Para isso basta utilizar ao inves de -A o -I, desta forma a nova regra será posta acima de todas as outras.


    Espero que tenha ajudado...

    OBS: Se alguém encotrar algum erro nas configurações de iptables favor notificar

  4. Cara, vc deu uma aula, valeu mesmo!!!






Tópicos Similares

  1. iptables - isolar máquinas
    Por Daniel_Fe no fórum Servidores de Rede
    Respostas: 14
    Último Post: 21-07-2005, 10:04
  2. Isolar algumas máquinas da internet
    Por Slackdi no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-12-2004, 07:16
  3. Restringir horarios de uma determinada maquina
    Por Elvis no fórum Servidores de Rede
    Respostas: 0
    Último Post: 17-10-2002, 00:22
  4. Respostas: 0
    Último Post: 26-08-2002, 17:42
  5. msgs estranhas no log
    Por shido no fórum Servidores de Rede
    Respostas: 1
    Último Post: 31-07-2002, 13:26

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L