IP amarrado ao MAC para navegar com Iptables.

[lacierdias]

Pessoal olha só tem como fazer uma regra no iptables que diga que o
MAC: 40:xx:xx:xx:xx:f1 só pode navegar se ele tiver o ip 192.168.1.24.

Algo mas ou menos assim:

iptables -A INPUT -m mac --mac-source 00:f3:89:2e:4c:66 -p TCP --syn -s 192.168.1.24 -j ACCEPT

Minha regra padrão de INPUT é DROP e minha intenção é evitar que alguem da rede mude de ip ou coloque alguma maquina não autorizada para navegar, casando o ip com o mac dificulta e muito a vida do cara não acham?

Ele tem q acertar o ip e o mac permitidos certinho para tentar fazer algo... é muito dificil acertar o par(IP+MAC) pq se ele acertar o ip mas o mac não casar não funciona, se ele forjar o mac mas errar o ip q casa com aquele mac tb não funciona...ai ele ta ferrado..rsrs

Grato desde já pela atenção.

[Alencar]

Acho q isso resolve o seu problema, só q vc tem fazer isso para todos os seus ips da rede mesmo q eles naum estejam sendo usados.

Se determinado ip naum estiver sendo usado coloca mac ficticio pra ele, nas regras de iptables.


iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.24 -m mac --mac-source 00:f3:89:2e:4c:66 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.24 -s 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.24 -o eth0 -j MASQUERADE
iptables -t filter -A INPUT -s 192.168.1.24 -d 0/0 -m mac --mac-source 00:f3:89:2e:4c:66 -j ACCEPT
iptables -t filter -A OUTPUT -s 0/0 -d 192.168.1.24 -j ACCEPT

Espero ter ajudado

[gatoseco]

Essa regra abaixo deve estar presente no seu script de firewall pra q as outras regras q liberam o acesso pro cliente tenham efeito, com essa regra presente no firewall possibilita que vc possa jogar as regras de acesso em outro local fazendo assim com que seu script de firewall nao fique enorme sendo que vc tera que criar 4 linhas de codigo pra cada cliente !!!

iptables -P FORWARD DROP

Valeu galera!!!

[lacierdias]

Po mano assim o FW vai ficar enorme..tem que fazer regras para os ips que não uso tb?????

[Alencar]

Tem sim, pq se naum o usuario muda o ip para um de sua rede q nao esta em uso e navega sem problemas, ja q naum tem regras para esse ip/mac.

Usa um arquivo para armazenar os ips e os macs, q fica enxutinho...

[DropALL]

Ih tah viajando, não precisa ter as regras mesmo pra IP que não quer navegar... basta usar:

iptables -P INPUT DROP
iptables -P FORWARD DROP

e só liberar o par IP e MAC que quiser...

Ah sim, FORWARD e INPUT só se você fizer proxy transparente, pois se a ideia for apenas liberar a navegacao em um proxy nao transparente basta fazer para INPUT mesmo.

[oyama]

Tem um post aqui no forum falando sobre amarrar o mac+ip atraves do arp, o comando se nao me engano e arp -f /arquivo com ip e mac.

Da um seek ai.

[lacierdias]

Tem um post aqui no forum falando sobre amarrar o mac+ip atraves do arp, o comando se nao me engano e arp -f /arquivo com ip e mac.

Da um seek ai.

Mano to usando o esquema do ARP mas a tabela arp fica enorme e qndo quero saber quem está navegando pelo arp -a ele mostra todos os ips setados no arquivo /etc/ethers e não apenas os ips que estão ligados naquele momento.
Existe uma maneira de eu saber quem está navegando sem ser pelo arp -a??

[gatoseco]

Lacier amigao da uma olhada nas regras que seguem abaixo:

#Bloqueia acesso de todos nao cadastrados
iptables -P FORWARD DROP

#liberando acesso para 10.0.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
iptables -A FORWARD -d 10.0.1.2 -j ACCEPT

Obs:Lembrando q para o micro navegar na net ele tera que ser liberado por essas regras os ip que nao possuirem essas regras nao terao permissao !!!

Valeu

[nod3vic3]

Cara no www.zago.eti.br tem um script de firewall que faz o que vc quer, vc precisa apenas ter um arquivo com os ips e macs que vc quer liberar que ele le o arquivo e faz as regras.

Dá uma olhada lá ou procura no www.google.com.br por par+ip+mac que vc vai encontrar.

Eu já utilizei uma vez e funciona blz.

[jesusnetworks]

tenho 2 clientes q estao atraz de um equipamento wireless Wlan e o mesmo nao repassa o mac do cliente, nesse caso devo criar essa regra e pro mesmo mac colocar 2 ip diferentes? obrigado.

[lacierdias]

Eu fiz assim e funcionou filé:

# Controle de acesso IP X MAC
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.12 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.12 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.12 -d 0/0 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.12 -o eth1 -j MASQUERADE

iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.15 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.15 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.15 -d 0/0 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.15 -o eth1 -j MASQUERADE

Obrigado a todos pela atenção neste post.
OBS: Fiz pela talela arp também funcionou legal mas eu uso as informações do arp para outras coisas por isso que prefiri o iptables.

Abraço em geral

[Mitnicks]

me chame no msn q eu tenho um script para isso

[_JC_]

iptables -t nat -A POSTROUTING -s $ip -j MASQUERADE
iptables -A FORWARD -s $ip -m mac --mac-source $mac -j ACCEPT
iptables -A FORWARD -d $ip -j ACCEPT
iptables -A INPUT -s $ip -m mac --mac-source $mac -j ACCEPT
iptables -A INPUT -d $ip -j ACCEPT

eu uso assim, isso amarra o ip ao mac, testei todas as fraudes possives, soh nao eh efetivo contra mac cloning neh, ae soh autenticacao com user/senha mesmo.