DHCP com controle de IP e compartilhamento no Debian Squeeze

Veremos um roteiro sobre como instalar e configurar o serviço de DHCP com cadastro de IPs pelo endereço MAC e controle de IPs pela tabela ARP.

[ Hits: 36.122 ]

Por: Buckminster em 19/02/2013


Habilitando o compartilhamento



6. Compartilhando a conexão.

Criando o arquivo de configuração do IPtables:

# vim /etc/init.d/firewall.sh

Obs.: Aqui você pode dar o nome que quiser ao arquivo.

Dentro do arquivo coloque exatamente o seguinte:

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Onde:
  • A placa eth1 é a placa que recebe a Internet. Se a sua for a eth0, você deve colocar: -o eth0

    * Atente para isso: A interface que vai ali é SEMPRE a interface que recebe a Internet, ou seja, é nesta placa de rede que deverá ser conectado o "fio" de entrada dos dados/Internet.

  • A primeira linha é somente um comentário que identifica o interpretador de comandos, no caso o bash.
  • Na segunda linha estamos levantando o módulo de compartilhamento.
  • Na terceira linha estamos ativando o compartilhamento.
  • Na quarta linha estamos dizendo para o IPtables que tudo que entrar pela placa de rede eth1, deve ser compartilhado com as outras placas de rede do computador.

Salve e saia do arquivo.

É uma configuração extremamente básica e sem segurança nenhuma. Para maior aprofundamento, estude as regras do IPtables.

Vamos transformar o arquivo que criamos em um arquivo executável:

# chmod +x /etc/init.d/firewall.sh

Agora vamos fazer com que esse arquivo seja executado automaticamente na inicialização. Entre no arquivo "rc.local":

# vim /etc/rc.local

Logo acima da linha "exit 0", coloque o caminho para o arquivo, ficando assim:

/etc/init.d/firewall.sh   start
exit   0

Salve e saia do arquivo.

7. Reinicie o sistema:

# shutdown -r now

Com isso, o servidor deverá estar fazendo o compartilhamento e servindo endereços IPs para a rede local (Lan).

A lógica é a seguinte: A Internet entra por uma placa de rede, o sistema "pega" essa Internet e através do arquivo do IPtables, faz com que ela seja distribuída para as outras placas de rede, não importando quantas mais tenha na máquina.

Para remover completamente o serviço de DHCP da máquina, se for o caso, execute:

# apt-get purge isc-dhcp-server

Depois coloque todas as placas de rede com IP automático (DHCP) e reinicie:

# shutdown -r now

Daí é só reinstalar o serviço e fazer as configurações novamente.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Habilitando o compartilhamento
   3. Controle de IPs pela tabela ARP
Outros artigos deste autor

O Kernel Linux

kernel Linux otimizado - Compilação e teste

Compilando o Squid3

IPv6, DNSv6 e DHCPv6

Manual traduzido do Squid

Leitura recomendada

Nagios no Ubuntu 14.04 - Instalação e configuração

A camada de enlace de dados

Docker - Containers em Linux

Configurando Zabbix Server no Debian

Servidor DNS: Debian 9 Stretch

  
Comentários
[1] Comentário enviado por dalveson em 19/02/2013 - 16:40h

legal o artigo, mais me tira uma duvida:

Você deverá ter duas placas de rede instaladas no computador, que será o servidor DHCP.

Todo servidor deve ser configurado para iniciar automaticamente em caso de queda de energia. A configuração deve ser feita acessando-se o Setup do CMOS (o popular BIOS) da placa-mãe.

Geralmente, essa configuração está na aba "Power" ou "Energy" ou "Advanced" ou similar. A opção a ser configurada, geralmente, aparece como "Restore on AC Power Loss" ou similar.

Esta opção deve ser colocada como "Power on". Isto fará com que a máquina seja reiniciada automaticamente. Com essa opção ligada (Power on), a placa-mãe detectará o retorno da energia e ligará a máquina automaticamente colocando o servidor em funcionamento.

isso funciona em desktop? pois aqui tenho servidores dell que ligam-se automaticamente quando a energia é restabelecida, porem tenho um servidor linux debian que roda num desktop ae ele eu tenho que ligar manualmente.

[2] Comentário enviado por nandinholuis em 20/02/2013 - 21:16h

Gostei muito do seu artigo, parabéns.
Tenho uma dúvida a respeito da seguinte situação:
_________________________________________________________________________
tenho 2 pcs dentro da minha rede com os respectivos ips e mac-address:

pc-financeiro1 -> 192.168.1.111 00:00:00:00:00:01
pc-estagiario1 -> 192.168.1.201 00:00:00:00:00:02

O pc-estagiario1 roda um sniffer e descobre o ip e o mac-address do pc-financeiro, e acaba colocando em seu pc, ficando assim;
pc-estagiario1 -> 192.168.1.111 00:00:00:00:00:01

Ou seja se acusar que o ip esta duplicado na rede, o estagiario espera o pc-financeiro1 desligar o pc, e tem todos os compartilhamentos de pastas, internet, e privilegio do pc-financeiro1?


[3] Comentário enviado por Buckminster em 21/02/2013 - 03:27h

Você deverá ter duas placas de rede instaladas no computador, que será o servidor DHCP.
---Sim. Todo servidor deve ter, no mínimo, duas placas de rede. Uma placa de rede é para receber a internet e a outra, após o compartilhamento, é a placa que sairá para a sua rede interna. Leia todo o artigo.

Todo servidor deve ser configurado para iniciar automaticamente em caso de queda de energia. A configuração deve ser feita acessando-se o Setup do CMOS (o popular BIOS) da placa-mãe.
---Em cada placa-mãe pode mudar o local de configuração, depende da marca e do modelo.
Geralmente, essa configuração está na aba "Power" ou "Energy" ou "Advanced" ou similar. A opção a ser configurada, geralmente, aparece como "Restore on AC Power Loss" ou similar.
Esta opção deve ser colocada como "Power on". Isto fará com que a máquina seja reiniciada automaticamente. Com essa opção ligada (Power on), a placa-mãe detectará o retorno da energia e ligará a máquina automaticamente colocando o servidor em funcionamento.
---Para acessar o "Bios" fique apertando a tecla "del", tipo chinelada de louco, durante a inicialização; geralmente é a "del", veja no manual da sua placa-mãe.

isso funciona em desktop? pois aqui tenho servidores dell que ligam-se automaticamente quando a energia é restabelecida, porem tenho um servidor linux debian que roda num desktop ae ele eu tenho que ligar manualmente.
---Geralmente os servidores Dell já vem configurados para reiniciar automaticamente. No seu servidor Debian (que não é desktop uma vez que você o configurou como servidor) você deve acessar o "Bios" da placa-mãe e configurar manualmente.

[4] Comentário enviado por Buckminster em 21/02/2013 - 08:17h

tenho 2 pcs dentro da minha rede com os respectivos ips e mac-address:

pc-financeiro1 -> 192.168.1.111 00:00:00:00:00:01
pc-estagiario1 -> 192.168.1.201 00:00:00:00:00:02

O pc-estagiario1 roda um sniffer e descobre o ip e o mac-address do pc-financeiro, e acaba colocando em seu pc, ficando assim;
pc-estagiario1 -> 192.168.1.111 00:00:00:00:00:01

Ou seja se acusar que o ip esta duplicado na rede, o estagiario espera o pc-financeiro1 desligar o pc, e tem todos os compartilhamentos de pastas, internet, e privilegio do pc-financeiro1?

Obrigado.
O que você quer é evitar o acesso pela clonagem de MAC.
Se a rede for wireless coloque criptografia WPA2-AES com uma boa chave de segurança
(quanto maior melhor e com caracteres especiais).
Se a rede for cabeada, é um pouco mais difícil evitar acesso pela clonagem de MAC de
dentro da própria rede. Mas no teu caso é só identificar o PC que está com o MAC
clonado e punir quem está fazendo isso.
Uma solução para minimizar esse problema é colocar o acesso por MAC+IP+login e senha,
ou seja, controle por autenticação de acesso à internet.
Quanto ao compartilhamento de pastas e privilégios, o pc-estagiário só conseguirá ter
se estiver capturando senhas na rede. A clonagem de MAC, pura e simples, neste caso,
só permite acesso à internet.
O único controle eficiente em segurança de redes é o monitoramento constante do
tráfego da rede visando identificar e bloquear ataques internos e externos.
Uma boa solução para diversos controles e bloqueios é Iptables+Squid. Para detecção de
ataques pesquise por IDS e para prevenção pesquise por IPS.

[5] Comentário enviado por rangelhf em 22/02/2013 - 13:06h

Muito bem explicado!!

[6] Comentário enviado por SK5_RJ em 23/05/2013 - 10:26h

Muito obrigado pela contribuiçao Buckminster , Parabens!!!

[7] Comentário enviado por Buckminster em 16/12/2013 - 13:14h

rangelhf

e

Malheiros_XSB

Obrigado.

[8] Comentário enviado por arasouza em 11/02/2014 - 15:07h

Cara parabéns pelo comentário, se possível gostaria de uma ajuda, pois fiz apenas a associação do ip ao mac, porém não funciona, vale salientar q tenho outro servidor e nesse deu certo, nesse caso que não está funcionando é um Debian de 64 bits, faço a associação 10.10.20.9 ao mac: ff:ff:ff:ff:ff:ff, porém se atribuir este mesmo ip a outro pc com outro mac ele navega normalmente.. a unica que bloqueou foi o seguinte: 10.10.20.9 00:00:00:00:00:00, porém aqui não associo a ningue´m.. o q faço???

[9] Comentário enviado por Buckminster em 24/05/2014 - 13:31h


[8] Comentário enviado por arasouza em 11/02/2014 - 15:07h:

Cara parabéns pelo comentário, se possível gostaria de uma ajuda, pois fiz apenas a associação do ip ao mac, porém não funciona, vale salientar q tenho outro servidor e nesse deu certo, nesse caso que não está funcionando é um Debian de 64 bits, faço a associação 10.10.20.9 ao mac: ff:ff:ff:ff:ff:ff, porém se atribuir este mesmo ip a outro pc com outro mac ele navega normalmente.. a unica que bloqueou foi o seguinte: 10.10.20.9 00:00:00:00:00:00, porém aqui não associo a ningue´m.. o q faço???


Acrescente dentro do escopo a linha

deny unknown-clients;

[10] Comentário enviado por stremenx em 10/03/2016 - 14:08h

No caso estou no debian 8 bastaria criar o arquivo no /etc/ethers, pois vim seria visualizar algo que deu errado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts