Filtro por mac [RESOLVIDO]

Boa noite meu amigos, sou novo aqui no VOL, e novo em linux também, estou montando um Firewall em linux e estou tendo algumas dificuldades.
Tenho um squid 2.7 funcionando com controle por MAC. Sei que o comando " iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP " bloqueia determinado MAC o que eu quero na verdade é que por default todos os mac's sejam bloqueados e liberados apenas os que eu citar nas regras.

Abs,

Cara, vou postar o q o nosso colega Elgio (aki do VOL msm) disse pra gente. É uma solução das mais fáceis pro seu caso, q é arp estático. Veja abaixo:

---------------------------------------------------------------------------------------
Crie o arquivo /etc/ethers e acrescente os MAC's necessários.

A sintaxe do arquivo /etc/ethers é:

IP MAC

Sendo o MAC separado (NECESSARIAMENTE) com dois pontos.

Exemplo:
10.1.0.121 34:F2:00:F0:2E:11

No meu arquivo, por exemplo, eu tenho isto:

10.1.0.118 00:00:00:F0:2E:11
10.1.0.119 00:00:00:F0:2E:11
10.1.0.120 00:00:00:F0:2E:11
10.1.0.121 00:00:00:F0:2E:11
10.1.0.122 00:00:00:F0:2E:11
10.1.0.123 00:00:00:F0:2E:11
10.1.0.124 00:00:00:F0:2E:11
10.1.0.125 00:00:00:F0:2E:11
10.1.0.126 00:00:00:F0:2E:11
10.1.0.127 00:00:00:F0:2E:11

Todos estes IPS não estão em uso, logo inventei este MAC. Agora se um esperto colocar o ip 10.1.0.126 na sua máquina não rola.
----------------------------------------------------------------------------------------------------------

Sacou?

Amigo.. via iptables nunca li nada a respeito de como bloquear todos os mac e ir liberando somente os que vc quer....

aconselho vc a utilizar o policiamento default e bloquear tudo.. e aí sim liberando o que vc tem necessiade..


Flw...

essa opção do renato é uma otima ideia.. eu mesmo na conheçia..

Boa renato...

Como eu conseguiria fazer essa configuração, pelo que eu entendi isso tem algo haver com a amarramção do IP ao MAC, esta configuração seria no DHCP?

Pelo que entendi não tem nada haver com dhcp.. è um arquivo que amarra o ip aquele mac,, assim se vc nao estiver cadastrado o servidor nao respondera suas requisições..

O renato pode explicar melhor..

Flw...

Desculpe, gente. Eu esqueci d mencionar q, para isto funcionar, é necessário executar o arp dessa forma:

# arp -f

Assim ele carregará tudo q estiver dentro do /etc/ethers. Isso se chama tabela arp estática, ou seja, quando ativada, o sistema só aceitará máquinas cujos MAC's estejam cadastradas dentro deste sistema. Como mostrei acima, se a pessoa tentar colocar o IP da rede, não conseguirá, pelo fato d o MAC dele não estar cadastrado na tabela /etc/ethers.

Se quiserem entender melhor, vejam esse tópico q o Elgio respondeu:

http://www.vivaolinux.com.br/topico/Squid-Iptables/AMARRANDO-IP-AO-MAC

very nice!!!

Então amigo .. resolveu seu problema
!!!!!!

Perdão meus amigos, infelizmente não tive como testar ainda, tive um problema com o servidor de DNS (windows) que funciona hoje e pra colocar pra funcionar foi problema. Mais estarei testando ainda neste final de semana.

Perdão meus amigos, infelizmente não tive como testar. Mais a solução me pareceu ser muito válida. Muito obrigado pela colaboração de vocês.