Bloqueando usuários com ARP

Publicado por Erik Gielow em 29/03/2007

[ Hits: 16.697 ]

0 0

Denuncie Favoritos Indicar Impressora

Bloqueando usuários com ARP

Pessoal,

Como todo bom administrador de sistemas, é sempre bom ficar de olho no que entra e sai da rede. As vezes um usuário mais "espertinho" consegue alguma maneira alternativa de burlar algum procedimento da empresa, mas seu tráfego de pacotes ele não tem como esconder.

Usando ferramentas como iptraf você pode detectar em segundos os IPs que mais estão consumindo recursos de rede em tempo real.

No caso a minha dica vai para o controle do mal uso desse recurso tão importante (banda da empresa), o uso do comando arp para bloquear/desbloquear os IPs que estão passando dos limites! Uma vez bloqueado, esse usuário não conseguirá mais "navegar" na internet nem baixar nada, pois o seu MAC ADDRESS estará "zerado" no firewall e o mesmo terá que entrar em contato via "fone" ou outra maneira para reclamar do "problema de rede" que sua estação se encontra.

Para bloquear:

arp -s ip_da_estação 0

Ex:

# arp -s 192.168.0.20 0

Para desbloquear:

arp -d ip_da_estação_bloqueada

Ex:

# arp -d 192.168.0.20

Espero que essa dica ajude vocês!

Outras dicas deste autor

Configurar driver NVidia no SUSE 10.1

Problemas de mtu/mss - Compartilhamento de velox com cabo cross

VNC como alternativa de login X (para servidores multi-usuários)

Criar um túnel ssh

Resolvendo problema com scripts que estão rodando no crontab

Leitura recomendada

Digital Attack Map - Mapa Iterativo de Ataques DDoS pelo Mundo

Como está o tempo no Debian?

Fail2ban em servidor SSH

Auditoria teste de invasão (pentest) - Planejamento, preparação e execução

SINUS Firewall

Comentários

[1] Comentário enviado por dtux em 01/04/2007 - 20:41h

Simples e eficiente
boa essa cara
!!!!!

0 0

[2] Comentário enviado por nitromind em 12/04/2007 - 17:49h

tem como escolher a interface ? tipo eth0 ou eth1 ?

0 0

[3] Comentário enviado por epgielow em 13/04/2007 - 09:50h

Cara vc tem q rodar isso num firewall ... ai ele zera na tabela arp mesmo.
Essa tabela eh independente de interface, pq "todos" os ips que vc vai querer interagir vai esta nessa tabela teoricamente ...
roda ai o comando "arp" se vc tiver varias interfaces vai ver que aparece ips de varias redes misturadas nessa tabela!

blz!

abraco.
Erik

0 0

[4] Comentário enviado por nitromind em 13/04/2007 - 11:12h

eu ja descobri, tem que por arp -i ethx ou pppx no comeco :)
mas valeus

0 0

[5] Comentário enviado por csmartins em 08/05/2007 - 11:18h

Dica excelente, me ajudou muito. Valeu cara!!!

0 0

[6] Comentário enviado por carlos1973 em 02/04/2008 - 01:35h

como faço para quando reiniciar o micro o cliente continuar boqueado ja q quando inicio a maquina ele é desbloqueado. uso debian e iptables. e só....

0 0

[7] Comentário enviado por epgielow em 02/04/2008 - 09:33h

Cara nao entendi perfeitamente seu comentario ...
vc esta usando o comando arp ? ou iptables ? no caso do arp, o MAC address dele vai ta zerado, nao tem como mesmo depois de reiniciar, soh ele entrando em contato/ reclamando com a administracao de sistemas da sua empresa, ou ele pode fazer alguma mutreta, como alterar/trocar a interface de rede da estacao bloqueada, ai no caso jah eh passivel de uma punicao perante as leis da empresa.

0 0