Como amarrar IP/MAC no ipfw do FreeBSD 4.9?

[CEP]

Ola pessoal!!! Estou trabalhando num pequeno provedor de internet via rádio, compartilhando um link de 1Mb com 26 maquinas, cada maquina barrada em 240K. Tenho um servidor rodando FreeBSD 4.9 e utilizo o IPFW do Free para fazer essa limitação de velocidade. Gostaria de saber como faço para amarrar IP/MAC no IPFW, ou seja, o servidor so liberar acesso à rede para o IP juntamente com o MAC da placa que estão devidadamente cadastrada no servidor. Com isso pretendo nao mais
cadastrar os MACs no radio (Senao) porque sempre que fecho ele com os MACs ele trava, ai preciso reseta-lo. O meu IPFW esta da seguinte forma limitando a velocidade:

ipfw pipe 1 config bw 240kbit/s queue 10
ipfw pipe 2 config bw 120kbit/s queue 10
ipfw add 100 pipe 1 ip from any to 192.168.0.1/30 out via rl0
ipfw add 110 pipe 2 ip from 192.168.0.1/30 to any in via rl0

Desde ja agradeço a atenção dos senhores e aguardo resposta.
Um forte abraço.

[godhacker]

cara, mac é muito facil de burlar, usa uma solução com radius, é bem melhor, pppoed eh bem interessante tb

[GrayFox]

primeiro ative ele pra funcionar na camada de enlace (ether_demux), depois...

ipfw add allow all from 192.168.4.5 to any MAC 00:02:54:54:54:54 any layer2
ipfw add allow all from 192.168.4.6 to any MAC 00:02:55:55:55:55 any layer2
ipfw add deny all from 192.168.4.0/24 to any

o que pode ser feito tambem, seria um servidor para aceitar conexoes ppp over ethernet para autenticacao ou até mesmo o nocat para autenticar todas as requisicoes via web.
6)

[gatoseco]

primeiro ative ele pra funcionar na camada de enlace (ether_demux), depois...

Desculpa a pergunta mais como seria pra ativar ether_demux ???


Valeu !!!

[etherlink]

Rapaz testei mas nao funcionou aki comigo...acho que ipfw para fazer controle de mac nao e muito bom.
:toim:

[eml]

whinston tem um comentario no forum, que eu fiz deu certo.
E coisa simpre.
https://under-linux.org/modules.php?...wtopic&t=23603

[toshiro]

Vou aproveitar a deixa e perguntar ja que o assunto tem Mac no meio.
Como eu posso montar o HD do meu Mac no Linux e vice-versa para
poder trocar dados entre eles?

desculpem mas tenho 1 mes de Linux apenas, uso o Kurumin por enquanto.

desde ja obrigado.

Vou aproveitar a deixa e perguntar ja que o assunto tem Mac no meio.
Como eu posso montar o HD do meu Mac no Linux e vice-versa para
poder trocar dados entre eles?

desculpem mas tenho 1 mes de Linux apenas, uso o Kurumin por enquanto.

desde ja obrigado.

Amigo acho que voce ta confundindo MAC ( de placa de rede)que é sobre o que o pessoal ta falando, com Mac de machintosh, acho melhor da uma lidar sobre terminologia e tals. e sempre que quiser saber algo no google geralmente tem.

falows

[GrayFox]

Rapaz testei mas nao funcionou aki comigo...acho que ipfw para fazer controle de mac nao e muito bom.
:toim:

Bem, ele pode nao ser bom pra fazer controle de mac pra voce, mas pra mim eu nao tive problemas, e funciona perfeitamente...

[diegofsousarn]

eml
Ola amigo!
estou com problema para colocar esse script para fincionar

vou lhe passae meus passos:
- copiei o script para dentro de um arquivo com nome de firewall esse arquivo coloque dentro de # /etc/init.d/firewall , e dentro do escript eu fiz três alterações do arquivo original
NET_IFACE=eth1
LAN_IFACE=eth0
MACLIST=/etc/init.d/maclist
e coloquei como você viu o arquivo maclist dentro de # /etc/init.d/maclist mas toda vida que eu mando iniciar o scipt ele da o seguinte erro
./firewall: line 17: /usr/local/sbin/iptables: No such file or directory
./firewall: line 18: /usr/local/sbin/iptables: No such file or directory
./firewall: line 19: /usr/local/sbin/iptables: No such file or directory
./firewall: line 26: /usr/local/sbin/iptables: No such file or directory
./firewall: line 27: /usr/local/sbin/iptables: No such file or directory
./firewall: line 28: /usr/local/sbin/iptables: No such file or directory
./firewall: line 29: /usr/local/sbin/iptables: No such file or directory
./firewall: line 30: /usr/local/sbin/iptables: No such file or directory
./firewall: line 39: /usr/local/sbin/iptables: No such file or directory
./firewall: line 40: /usr/local/sbin/iptables: No such file or directory
./firewall: line 41: /usr/local/sbin/iptables: No such file or directory
./firewall: line 42: /usr/local/sbin/iptables: No such file or directory
./firewall: line 43: /usr/local/sbin/iptables: No such file or directory
FIREWALL ATIVADO SISTEMA PREPARADO

E não deixa eu navegar, mas o que eu acho interesante é que eu consigo pingar para fora como por ex: ping uol.com.br e ele responde
Sera que eu preciso instalar algo a mais para funcionar


agradeço se puderem me dar uma ajuda

[gatoseco]

GrayFox entao posta ai como vc aplicou esse controle, colabora com a galera meu !!!



Abraços

[diegofsousarn]

esse é o script caso queira eu tenho um passo a passo explicando la em baixo tem um modelo da lista de controle
#/bin/bash
#Script de Firewall para bloqueio por MACaddress
#Criado por Carlos Eduardo Langoni
#23/01/2003
#
# Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
# Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será bloqueado o IP, apenas o MAC
#
IPT=/usr/local/sbin/iptables
PROGRAMA=/bin/firewall
NET_IFACE=eth0
LAN_IFACE=eth1
MACLIST=/etc/maclist
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
$IPT -F
$IPT -t nat -F
$IPT -t filter -P FORWARD DROP
for i in `cat $MACLIST`; do
STATUS=`echo $i | cut -d ';' -f 1`
IPSOURCE=`echo $i | cut -d ';' -f 3`
MACSOURCE=`echo $i | cut -d ';' -f 2`
#Se status = a então eu libera a conexao
if [ $STATUS = "a" ]; then
$IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
$IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

# Se for = b então bloqueia o MAC
else
$IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
$IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
$IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
fi
done
$IPT -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
$IPT -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
$IPT -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
$IPT -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
$IPT -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128


echo "FIREWALL ATIVADO SISTEMA PREPARADO"
;;
stop)
$IPT -F
$IPT -Z
$IPT -t nat -F
$IPT -t filter -P FORWARD ACCEPT
echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
;;
restart)
$PROGRAMA stop
$PROGRAMA start
;;
esac


5.2 - Exemplo do MACLIST

a;00:21:ab:0d:ef:bb;192.168.0.2;cliente1
b;21:AD:dc:00:ff:10;192.168.0.3;cliente2

[GrayFox]

Esse script é pra ser usado em linux, nao em BSD.
6)

[etherlink]

e GrayFox se essa regra que vc passou funciocou com vc parabens pq aki usei de varias formas e nada...e pq estou usando 6.0

[GrayFox]

Obrigado pelos parabens, e pela parte que me toca.
Outra, sarcasmo comigo nao rola.

[etherlink]

alguem ja tem uma solucao para controle ainda nao consegui apesar do GrayFox ja tem conseguido alguem mais para da um luz no fim do tunel.

[leosimas]

com relação a amarra o ip ou MAC eu mesmo nã achei mais vc pode cadastrar o MAC na tabela ARP manualmente !

[pedro_brother]

usar o controle de mac na tabela arp so tem um problema se teu dns estiver caído nao navega nada vc tera que ter um dns rodando dentro da maquina. dai o resolv.conf tem que ficar sempre em pé , e nao dar pra usar um dns externo
eu tentei aqui e deu esses problemas, me corrijam se eu estiver errado