Bloquear acesso a rede pelo MAC [RESOLVIDO]

david.blu
(usa CentOS)

Enviado em 26/08/2013 - 18:26h

Boa tarde, montei um FW para controle de internet.

Tenho um arquivo /etc/ethers com todos os MACs e IPs da rede. Todos também cadastrados no dhcpd.conf, e com a opção deny unknown-clients no DHCP.

O que quero fazer é o seguinte:

Se alguém for na placa e colocar um IP qualquer que não esteja na rede, este não consiga nem pingar ou acessar outra máquina. Navegar ele já não consegue, mas consegue acessar a rede como: \\192.168.0.x

Existe mais alguma opção para habilitar no meu FW que eu possa configurar para esta máquina com IP setado por usuário não acessar a rede?

Obrigado, no aguardo.

David Francisco

stefaniobrunhara
(usa CentOS)

Enviado em 26/08/2013 - 18:48h

eu uso da seguinte forma:

vim /etc/ethers
192.168.1.1 00:1a:92:d6:d8:03

arp -f /etc/ethers

Desta forma se o cara cadastrar o ip de outra pessoa, ele não terá acesso a internet, mas isto nao vai impedir o conflito de rede, ou o acesso as demais estaçoes, se seu usuário for experiente ele poderá mudar o mac address da placa de rede nas propriedades do dispositivo.

Caso voce tenha um servidor windows, com active diretory, use uma GPO, para retirar o acesso a configuração de rede. É a unica saida segura que eu conheço.

Caso voce não tenha o Active diretory, use a ferramenta "gpedit.msc" e procure a policy da placa de rede e desative. O ruim disto é que você vai precisar fazer maquina por maquina.

Não tenho certeza se é exatamente esta a policy que você deve mudar, faça um teste ok!

gpedit.msc
Configuraçoes do usuario/Modelos Adiministrativos/Rede/Conexões de rede
Proibir acesso as propriedades de uma conexao local

david.blu
(usa CentOS)

Enviado em 26/08/2013 - 20:04h

Valeu estefaniobrunha pela resposta.

Eu uso exatamente igual ao seu ethers. Mas se a pessoa pegar um IP que ninguém está usando e no ethers esteja 00:00:00:00:00:00 ele poderá acessar a rede certo?

Pensei em usar o seguinte no IPTABLES:

iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.3 -m mac --mac-source 01:01:01:01:01:01 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.0.2 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.3 -d 0/0 -m mac --mac-source 01:01:01:01:01:01 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j MASQUERADE

Só que 60 hosts o meu arquivo de firewall irá ficar uma bíblia. O que eu descrevi acima faz sentido, vale realizar a configuração? Se sim, tem como simplificar e quem sabe chamar em um arquivo para não ficar tão extenso o arquivo de firewall?

Abs.

stefaniobrunhara
(usa CentOS)

Enviado em 27/08/2013 - 10:29h

Não existe regra nenhuma que você fará no firewall/linux que vai impedir que uma estacao-A acesse a estação-B. Uma estação só usa o Firewall/gateway para ips fora da sua rede.

192.168.1.1 para acessar o terra.com.br tem que passar pelo firewall do linux.
192.168.1.1 para acessar o 192.168.1.2 não passa pelo firewall do linux.

Você teria que fazer isto no firewal da estação.

Se você libera acesso a internet pelo mac, então os macs que não estão cadastrados, não irão navegar. "então seu firewall vai ficar magruinho kkk"

O controle de compartilhamento é feito de forma mais segura por usuario e senha.

david.blu
(usa CentOS)

Enviado em 27/08/2013 - 10:37h

estefaniobrunha valeu pela resposta. Foi o que eu imaginei. Acredito que isso eu possa fazer com meu switch certo?

Mas me diz uma coisa, essas regras que coloquei acima faz algum sentido eu deixar elas ativas ou é indiferente? Na verdade eu fiz as regras lendo tutoriais mas de fato não sei interpretá-las. Já tenho o arquivo /etc/ethers como falado anteriormente.

Obrigado.

stefaniobrunhara
(usa CentOS)

Enviado em 27/08/2013 - 10:41h

Não faz sentido! No switch também não é o lugar certo.

Para resolver o problema do usuario trocar o ip é policy do windows.

As melhores soluções são as que você faz a abordagem correta do problema.

david.blu
(usa CentOS)

Enviado em 27/08/2013 - 16:32h

estefaniobrunha era a certeza que eu precisava. Vou realizar este bloqueio em meu AD via GPO.

Valeu pela ajuda e paciência rsrsrsrs...

Abs.!