-
Concordo, é fácil roubar um IP. É bem mais difícil achar alguém que altere o MAC de uma placa.
Eu havia me referido que era mais simples devido a sintaxe do iptables para bloqueio de MAC. Pode ser bobeira minha mas eu acho bem mais intuitivo e simples o bloqueio por ip.
Abaixo um link de iptables que eu considero muito bom:
Guia Foca GNU/Linux - Firewall iptables
-
Oi Magnun, obrigado por ter atentido meu apelo, mas, eu sou iniciante, vc poderia se possível ser mais detalhista, como um exemplo; eu não entendi se vc tá falando em bloquear com iptables ou no proprio dhcp? Por favor, um exemplo seria perfeito!
Obrigado
-
Ok, consideremos que existem 2 hosts (10.1.100.2 e 10.1.100.3), o server DHCP (10.1.100.254) e o gateway dos seus hosts (10.1.100.1) que provê acesso a internet. Estou distingundo o servidor DHCP do gateway pois se for esta a sua topologia e eu explicar como se o gw e o dhcp fossem o mesmo poderia ficar confuso para você adaptar à sua necessidade.
1ª etapa: Configurar regras de permissão (Feita no GateWay)
Permitir que os hosts 10.1.100.2 e 10.1.100.3 tenham acesso ao seu GateWay
iptables -A INPUT -d 10.1.100.1 -s 10.1.100.2 -j ACCEPT
iptables -A INPUT -d 10.1.100.1 -s 10.1.100.3 -j ACCEPT
Permitir que pacotes dos hosts 10.1.100.1 e 10.1.100.3 sejam encaminhados pelo GateWay
iptables -A FORWARD -s 10.1.100.2 -j ACCEPT
iptables -A FORWARD -s 10.1.100.3 -j ACCEPT
2ª etapa: Configurar bloqueios (Feita no GateWay)
Bloqueia todos os outros IP's a terem acesso ao seu GateWay
iptables -A INPUT -d 10.1.100.1 -j DROP
Bloquear que os pacotes de todos os outros IP's sejam encaminhados pelo seu GateWay
iptables -A FORWARD -j DROP
Essa configuração, como havia explicado, limita o acesso à internet dos hosts não especificados e também previne que os mesmos tenham acesso ao GateWay. Mas nada impede de alguém que tem acesso à rede tente acessar o GateWay e configurar uma regra de para permitir que o note dele navegue, por isso talvez seja interessante pensar bem em quais hosts você deve permitir o acesso ao GateWay.
Mas mesmo com essas configurações nada impede que o um notebook seja configurado manualmente com o ip 10.1.100.4 e caso isso seja feito este notebook terá acesso às pastas compartilhadas em 10.1.100.2 e 10.1.100.3. Se você quiser bloquear isto também é necessário uma configuração extra no seu DHCP (10.1.100.254). Nas configurações da máscara anunciada é necessário colocar o final .252 dessa forma todos os hosts estarão em subredes diferentes sendo necessário o encaminhamento pelo GateWay porém, para os hosts não adicionados na tabela de FORWARD, isto estará bloqueado. Com isto o notebook estará realmente "isolado" da rede.
Só tem um problema, faz muito tempo que eu conigurei DHCP e não me lembro direito o arquivo... Mas isso é fácil de descobrir...
Lembrando que caso você queira adicionar mais algum host você deve por a regra respectiva a este acima da regra de bloqueio e serão necessárias regras de INPUT E FORWARD caso você queira permitir ambos.
Para isso basta utilizar ao inves de -A o -I, desta forma a nova regra será posta acima de todas as outras.
Espero que tenha ajudado...
OBS: Se alguém encotrar algum erro nas configurações de iptables favor notificar
-
Cara, vc deu uma aula, valeu mesmo!!!