DHCP com controle de IP e compartilhamento no Debian Squeeze

Veremos um roteiro sobre como instalar e configurar o serviço de DHCP com cadastro de IPs pelo endereço MAC e controle de IPs pela tabela ARP.

[ Hits: 37.052 ]

Por: Buckminster em 19/02/2013


Habilitando o compartilhamento



6. Compartilhando a conexão.

Criando o arquivo de configuração do IPtables:

# vim /etc/init.d/firewall.sh

Obs.: Aqui você pode dar o nome que quiser ao arquivo.

Dentro do arquivo coloque exatamente o seguinte:

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Onde:
  • A placa eth1 é a placa que recebe a Internet. Se a sua for a eth0, você deve colocar: -o eth0

    * Atente para isso: A interface que vai ali é SEMPRE a interface que recebe a Internet, ou seja, é nesta placa de rede que deverá ser conectado o "fio" de entrada dos dados/Internet.

  • A primeira linha é somente um comentário que identifica o interpretador de comandos, no caso o bash.
  • Na segunda linha estamos levantando o módulo de compartilhamento.
  • Na terceira linha estamos ativando o compartilhamento.
  • Na quarta linha estamos dizendo para o IPtables que tudo que entrar pela placa de rede eth1, deve ser compartilhado com as outras placas de rede do computador.

Salve e saia do arquivo.

É uma configuração extremamente básica e sem segurança nenhuma. Para maior aprofundamento, estude as regras do IPtables.

Vamos transformar o arquivo que criamos em um arquivo executável:

# chmod +x /etc/init.d/firewall.sh

Agora vamos fazer com que esse arquivo seja executado automaticamente na inicialização. Entre no arquivo "rc.local":

# vim /etc/rc.local

Logo acima da linha "exit 0", coloque o caminho para o arquivo, ficando assim:

/etc/init.d/firewall.sh   start
exit   0

Salve e saia do arquivo.

7. Reinicie o sistema:

# shutdown -r now

Com isso, o servidor deverá estar fazendo o compartilhamento e servindo endereços IPs para a rede local (Lan).

A lógica é a seguinte: A Internet entra por uma placa de rede, o sistema "pega" essa Internet e através do arquivo do IPtables, faz com que ela seja distribuída para as outras placas de rede, não importando quantas mais tenha na máquina.

Para remover completamente o serviço de DHCP da máquina, se for o caso, execute:

# apt-get purge isc-dhcp-server

Depois coloque todas as placas de rede com IP automático (DHCP) e reinicie:

# shutdown -r now

Daí é só reinstalar o serviço e fazer as configurações novamente.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Habilitando o compartilhamento
   3. Controle de IPs pela tabela ARP
Outros artigos deste autor

Configuração do sistema, DHCP, compartilhamento e DNS no Debian Squeeze

Como um monte de letras de um código fonte transforma-se em voltagens?

Manual traduzido do Squid - Parte 2

Encapsulando BIND 9 e Apache 2 para obter maior segurança

Compilando o Squid3

Leitura recomendada

Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)

Crimpagem de Conectores RJ-45

Emulador de Redes Mininet

Zoneminder: Substituindo um Unifi NVR

Montagem de Cluster

  
Comentários
[1] Comentário enviado por dalveson em 19/02/2013 - 16:40h

legal o artigo, mais me tira uma duvida:

Você deverá ter duas placas de rede instaladas no computador, que será o servidor DHCP.

Todo servidor deve ser configurado para iniciar automaticamente em caso de queda de energia. A configuração deve ser feita acessando-se o Setup do CMOS (o popular BIOS) da placa-mãe.

Geralmente, essa configuração está na aba "Power" ou "Energy" ou "Advanced" ou similar. A opção a ser configurada, geralmente, aparece como "Restore on AC Power Loss" ou similar.

Esta opção deve ser colocada como "Power on". Isto fará com que a máquina seja reiniciada automaticamente. Com essa opção ligada (Power on), a placa-mãe detectará o retorno da energia e ligará a máquina automaticamente colocando o servidor em funcionamento.

isso funciona em desktop? pois aqui tenho servidores dell que ligam-se automaticamente quando a energia é restabelecida, porem tenho um servidor linux debian que roda num desktop ae ele eu tenho que ligar manualmente.

[2] Comentário enviado por nandinholuis em 20/02/2013 - 21:16h

Gostei muito do seu artigo, parabéns.
Tenho uma dúvida a respeito da seguinte situação:
_________________________________________________________________________
tenho 2 pcs dentro da minha rede com os respectivos ips e mac-address:

pc-financeiro1 -> 192.168.1.111 00:00:00:00:00:01
pc-estagiario1 -> 192.168.1.201 00:00:00:00:00:02

O pc-estagiario1 roda um sniffer e descobre o ip e o mac-address do pc-financeiro, e acaba colocando em seu pc, ficando assim;
pc-estagiario1 -> 192.168.1.111 00:00:00:00:00:01

Ou seja se acusar que o ip esta duplicado na rede, o estagiario espera o pc-financeiro1 desligar o pc, e tem todos os compartilhamentos de pastas, internet, e privilegio do pc-financeiro1?


[3] Comentário enviado por Buckminster em 21/02/2013 - 03:27h

Você deverá ter duas placas de rede instaladas no computador, que será o servidor DHCP.
---Sim. Todo servidor deve ter, no mínimo, duas placas de rede. Uma placa de rede é para receber a internet e a outra, após o compartilhamento, é a placa que sairá para a sua rede interna. Leia todo o artigo.

Todo servidor deve ser configurado para iniciar automaticamente em caso de queda de energia. A configuração deve ser feita acessando-se o Setup do CMOS (o popular BIOS) da placa-mãe.
---Em cada placa-mãe pode mudar o local de configuração, depende da marca e do modelo.
Geralmente, essa configuração está na aba "Power" ou "Energy" ou "Advanced" ou similar. A opção a ser configurada, geralmente, aparece como "Restore on AC Power Loss" ou similar.
Esta opção deve ser colocada como "Power on". Isto fará com que a máquina seja reiniciada automaticamente. Com essa opção ligada (Power on), a placa-mãe detectará o retorno da energia e ligará a máquina automaticamente colocando o servidor em funcionamento.
---Para acessar o "Bios" fique apertando a tecla "del", tipo chinelada de louco, durante a inicialização; geralmente é a "del", veja no manual da sua placa-mãe.

isso funciona em desktop? pois aqui tenho servidores dell que ligam-se automaticamente quando a energia é restabelecida, porem tenho um servidor linux debian que roda num desktop ae ele eu tenho que ligar manualmente.
---Geralmente os servidores Dell já vem configurados para reiniciar automaticamente. No seu servidor Debian (que não é desktop uma vez que você o configurou como servidor) você deve acessar o "Bios" da placa-mãe e configurar manualmente.

[4] Comentário enviado por Buckminster em 21/02/2013 - 08:17h

tenho 2 pcs dentro da minha rede com os respectivos ips e mac-address:

pc-financeiro1 -> 192.168.1.111 00:00:00:00:00:01
pc-estagiario1 -> 192.168.1.201 00:00:00:00:00:02

O pc-estagiario1 roda um sniffer e descobre o ip e o mac-address do pc-financeiro, e acaba colocando em seu pc, ficando assim;
pc-estagiario1 -> 192.168.1.111 00:00:00:00:00:01

Ou seja se acusar que o ip esta duplicado na rede, o estagiario espera o pc-financeiro1 desligar o pc, e tem todos os compartilhamentos de pastas, internet, e privilegio do pc-financeiro1?

Obrigado.
O que você quer é evitar o acesso pela clonagem de MAC.
Se a rede for wireless coloque criptografia WPA2-AES com uma boa chave de segurança
(quanto maior melhor e com caracteres especiais).
Se a rede for cabeada, é um pouco mais difícil evitar acesso pela clonagem de MAC de
dentro da própria rede. Mas no teu caso é só identificar o PC que está com o MAC
clonado e punir quem está fazendo isso.
Uma solução para minimizar esse problema é colocar o acesso por MAC+IP+login e senha,
ou seja, controle por autenticação de acesso à internet.
Quanto ao compartilhamento de pastas e privilégios, o pc-estagiário só conseguirá ter
se estiver capturando senhas na rede. A clonagem de MAC, pura e simples, neste caso,
só permite acesso à internet.
O único controle eficiente em segurança de redes é o monitoramento constante do
tráfego da rede visando identificar e bloquear ataques internos e externos.
Uma boa solução para diversos controles e bloqueios é Iptables+Squid. Para detecção de
ataques pesquise por IDS e para prevenção pesquise por IPS.

[5] Comentário enviado por rangelhf em 22/02/2013 - 13:06h

Muito bem explicado!!

[6] Comentário enviado por SK5_RJ em 23/05/2013 - 10:26h

Muito obrigado pela contribuiçao Buckminster , Parabens!!!

[7] Comentário enviado por Buckminster em 16/12/2013 - 13:14h

rangelhf

e

Malheiros_XSB

Obrigado.

[8] Comentário enviado por arasouza em 11/02/2014 - 15:07h

Cara parabéns pelo comentário, se possível gostaria de uma ajuda, pois fiz apenas a associação do ip ao mac, porém não funciona, vale salientar q tenho outro servidor e nesse deu certo, nesse caso que não está funcionando é um Debian de 64 bits, faço a associação 10.10.20.9 ao mac: ff:ff:ff:ff:ff:ff, porém se atribuir este mesmo ip a outro pc com outro mac ele navega normalmente.. a unica que bloqueou foi o seguinte: 10.10.20.9 00:00:00:00:00:00, porém aqui não associo a ningue´m.. o q faço???

[9] Comentário enviado por Buckminster em 24/05/2014 - 13:31h


[8] Comentário enviado por arasouza em 11/02/2014 - 15:07h:

Cara parabéns pelo comentário, se possível gostaria de uma ajuda, pois fiz apenas a associação do ip ao mac, porém não funciona, vale salientar q tenho outro servidor e nesse deu certo, nesse caso que não está funcionando é um Debian de 64 bits, faço a associação 10.10.20.9 ao mac: ff:ff:ff:ff:ff:ff, porém se atribuir este mesmo ip a outro pc com outro mac ele navega normalmente.. a unica que bloqueou foi o seguinte: 10.10.20.9 00:00:00:00:00:00, porém aqui não associo a ningue´m.. o q faço???


Acrescente dentro do escopo a linha

deny unknown-clients;

[10] Comentário enviado por stremenx em 10/03/2016 - 14:08h

No caso estou no debian 8 bastaria criar o arquivo no /etc/ethers, pois vim seria visualizar algo que deu errado.


Contribuir com comentário