Bloquear e Liberar Ip no iptable [RESOLVIDO]

1. Bloquear e Liberar Ip no iptable [RESOLVIDO]

Rogerio Marques Cardoso
bradroger

(usa Debian)

Enviado em 08/10/2009 - 16:28h

Estou precisando de uma grande ajuda:

Temos diversos micros que estão cadastrados no DHCP através de MacAddress, mas se eu colocar um micro na rede com IP na mão irá funcionar.

Estou querendo bloquear isso, deixando apenas os Ip's que estão cadastrados no DHCP saindo para a rede 192.168.20.20 por exemplo, mesmo que uma pessoa chegue lá e coloque por exemplo o IP 192.168.1.1 ela não irá conseguir fazer nada, somente conseguirá acessar a rede interna mesmo.

Como posso fazer isso através do iptables?



  


2. MELHOR RESPOSTA

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 08/10/2009 - 21:06h

A ideia do Diede funciona.

Porém é mais rápido usar ARP estático.

Crie um arquivo /etc/ethers com o seguinte padrão:
IP MAC

Exemplo;
10.1.0.3 00:20:30:40:50:60

Coloque TODAS as relações IP/MAC do teu DHCP nele.

Depois chame um arp -f (coloque isto para executar no boot).

Explicação: se tu tem arp estático, para aqueles IPS o servidor não irá perguntar pelo ARP, mas usar o que já tem. Uma máquina com o IP mas não com o MAC ficará ISOLADA para este servidor. É mais rápido do que iptables porque acaba DESONERANDO o servidor (agora ele faz menos broadcasts).

3. Re: Bloquear e Liberar Ip no iptable [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/10/2009 - 16:42h

Kra, tem alguma coisa errada nas suas regras d iptables. Sugiro vc a postar aki as suas regras pra gente analisar.


4. Re: Bloquear e Liberar Ip no iptable [RESOLVIDO]

Jefferson Diego
Diede

(usa Debian)

Enviado em 08/10/2009 - 19:24h

Faça como seu DHCP: Manipule MAC's ao invés de IP's:


iptables -A INPUT -i eth1 -m mac --mac-source 00:0B:EF:95:01:08 -j ACCEPT
iptables -A INPUT -i eth1 -m mac --mac-source 00:0B:EF:95:01:09 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports ! 137,138,139,445 -j DROP
iptables -A INPUT -i eth1 -p udp -m multiport --dports ! 137,138,139,445 -j DROP

Onde "00:0B:EF:95:01:08" e "00:0B:EF:95:01:09" são os MAC's das interfaces dos PC's permitidos.

Deste modo, você deverá repetir a primeira regra, substituindo o mac pelos mac's das máquinas permitidias, e com as duas regras ao final, os MAC's não cadastrados serão impedidos de acessarem algo que não seja o compartilhamento de arquivos.


5. elgio

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/10/2009 - 21:52h

Pow... suas ideias são geniais! Nem sabia dessa parada...


6. Re: Bloquear e Liberar Ip no iptable [RESOLVIDO]

Julian Castaman
maninhx

(usa Slackware)

Enviado em 09/10/2009 - 11:22h

fez isso?
Depois chame um arp -f (coloque isto para executar no boot).


7. Re: Bloquear e Liberar Ip no iptable [RESOLVIDO]

Rogerio Marques Cardoso
bradroger

(usa Debian)

Enviado em 09/10/2009 - 11:28h

Sim.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts