Associando mac ao ip

arasouza
(usa Debian)

Enviado em 17/07/2012 - 18:49h

Pessoal andei dando uma olhada por ai antes de postar, mas não achei nada parecido com o que eu desejo, seguinte tem como fazer no squid3, um associação de ip ao mac, por exemplo eu vou dar acesso total a determinado ip, como faço para amarrar este ip ao mac da placa de rede do cliente, pois assim evita de alguns espertos trocarem apenas o ip e conseguirem acesso total.
o cenario:
mais ou menos 70 maquinas clientes divididas em 03 laboratorios, sera que posso criar um arquivos com todos esses macs associa-los a um ip, fazendo com que se o cliente trocar o ip
ele não vai ter acesso pois na tabela (arp) está diferente. toda ajuda é bem vinda.

adri3d
(usa Arch Linux)

Enviado em 17/07/2012 - 19:10h

quem amara o ip ao mac não é o squid3 e sim o servidor DHCP (bind ou um roteador), isso geralmente é facil.

isso funciona em rede no modo DHCP, agora não sei se isso impede alguém de colocar um ip fixo manualmente.

danniel-lara
(usa Fedora)

Enviado em 18/07/2012 - 09:54h

mas tu podes criar acls por mac no squid

de uma psquisada

http://www.squid-cache.org

espero que ajude

arasouza
(usa Debian)

Enviado em 18/07/2012 - 12:49h

Isso adri3d, o lance do DHCP funciona mesmo, mas o meu maior problema e que aqui eu tenho pessoas com conhecimento de redes, então faltalmente eles tentaria descobrir qual ip está liberado, ai ele tem a opção de mudar definindo ip na maquina , entende..

arasouza
(usa Debian)

Enviado em 18/07/2012 - 16:42h

Ok Daniel valeu pela dica vou dar uma pesquisada e depois coloco aqui..

arasouza
(usa Debian)

Enviado em 18/07/2012 - 19:06h

Daniel, naõ encontrei, o que tem é vc liberar acesso pelo mac, as eu preciso na verdade e associar o mac ao ip, ou seja se ele for ip 192.168.10.2 e mac 00:00:11:11:11:11 libere,.. e isso eu nao encontrei.. outra dica??

leonardodsl
(usa Debian)

Enviado em 18/07/2012 - 23:35h

Então amigo.

Eu faço de uma forma diferente com controle de banda.
Não testei, fiz pegando algumas partes do meu e montei de acordo como vc deseja.

Primeiro crie os arquivos user_ip e user_mac pode ser no /etc/squid3/
OBS: Nos dois arquivos tem que estar na mesma ordem IP com MAC


Arquivo "user_ip"
## USER1
172.160.23.2

## USER2
172.160.23.3

## USER3
172.160.23.4


Arquivo "user_mac"
## USER1
xx:xx:xx:xx:xx:xx

## USER2
xx:xx:xx:xx:xx:xx

## USER3
xx:xx:xx:xx:xx:xx


#Editando squid.conf

acl redelocal src 172.160.23.0/24

############# CONTROLE DE PALAVRAS NA URL #############
# Liberando e bloqueando palavras digitadas na URL
acl keywords_liberadas url_regex -i "/root/scripts/keywords_liberadas"
http_access allow redelocal keywords_liberadas

acl keywords_proibidas url_regex -i "/root/scripts/keywords_proibidas"
http_access deny redelocal keywords_proibidas

#Criando acl permitindo tudo, qualquer tipo de nome digitado na URL.
acl user_permit_total url_regex -i .*

#######################################################

#Criando as ACL`s no /etc/squid3/squid.conf
acl user_ip src "/etc/squid3/user_ip"
acl user_mac src "/etc/squid3/user_mac"

#Ativando a acl de acordo com IP e MAC
http_access allow user_permit_total user_ip user_mac


#Coloque isso tudo antes do:
http_access allow redelocal
http_access deny all

#Faça o teste, qualquer coisa se não funcionar, me fala.
#Esse é um bloqueio interno e se quiser fazer um bloqueio externo use o OpenDNS.

#Você pergunta porque criei uma acl liberando e uma bloqueando

#Vou lhe dá uma dica.
#Exemplo:
#Se não criar-mos a acl keywords_liberadas e somente a keywords_proibidas vai bloquear em qualquer site.
#No keywords_proibidas colocamos as palavras:
[*****]
[*****]
[*****]
[*****]

#Se nós formos no Google e digitarmos [*****] ou [*****] para pesquisar ali mesmo já ira bloquea, isso daria uma dor de cabeça para vc em outros sites.
#O que eu fiz, criei a acl keywords_liberadas e coloquei as palavras (tudo que estiver na URL escrito google ou odia ira aceitar as outras palavras que estão na acl keywords_proibidas), entendeu?
google
itau
yahoo
odia
g1
youtube

#Se quiser colocar o domínio inteiro vc amarraria mais ainda a palavras onde poderiam se aceitar somente no dominio tal.
#O url_regex VERIFICA tudo que estiver na URL e o -i pode ser tanto minusculo como maiusculo.

Atenciosamente.
Leonardo Silva

arasouza
(usa Debian)

Enviado em 19/07/2012 - 08:28h

Cara acho q você matou a charada, era + - isso q eu tinha em mente, pois nesse caso ele meio q concatena o ip ao mac e ai caso não tenh a associação ele bloqueia, irei fazer o teste e vou postar aqui Leonardo, cara muito boa a sua dica.. valeu assim q teste eu posto aqui.. abçs.. valeu..