Como bloquear quem está fora do dhcpd.conf e usa ip fixo usando somente o iptables, sem arp e squid

1. Como bloquear quem está fora do dhcpd.conf e usa ip fixo usando somente o iptables, sem arp e squid

fabriicinhow
(usa CentOS)

Enviado em 14/02/2020 - 10:58h

PROBLEMA: Já existe nessa minha rede um outro servidor dhcd. Esse que estou criando, serve somente para telefones celulares, ele disponhe acesso liberado
só que se alguem descobir os endereços de ip da minha rede mesmo estando fora do dhcpd.conf consegue acesso normal.
Queria saber se no iptables existe alguma alternativa que proteje o o DHCPD.conf ou seja dropando ou não dando nenhum acesso a minha rede interna e a navegação de dados.
Preferencialmente não gostaria de usar ARP, SQUID OU SCRIPT.

SISTEMA UTILIZADO: CENTOS7
Em meu servidor, existem 2 placas de rede.
Os IPs no arquivo DHCPD.conf estão amarrados ao mac.

ETH0 = REDE INTERNA
ETH1 = RECENDO IP DO MOLDEM.

Segue as Configurações das placas de rede.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.2.19.153 netmask 255.255.0.0 broadcast 10.2.255.255
inet6 fe80::f725:9e5:44fb:2078 prefixlen 64 scopeid 0x20<link>
ether xx:xx:xx:xx:xx:xx txqueuelen 1000 (Ethernet)
RX packets 133281056 bytes 80665566606 (75.1 GiB)
RX errors 0 dropped 66 overruns 0 frame 0
TX packets 108284450 bytes 102969666829 (95.8 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.176 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::68ab:829a:5624:8e56 prefixlen 64 scopeid 0x20<link>
inet6 fdc9:833a:6e50:3:4bc3:b64a:b597:69f9 prefixlen 64 scopeid 0x0<global>
ether xx:xx:xx:xx:xx:xx txqueuelen 1000 (Ethernet)
RX packets 106438207 bytes 100814186318 (93.8 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 117370666 bytes 79569312124 (74.1 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

As configurações do DHCPD.conf

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 10.2.19.0 netmask 255.255.255.0{
range 10.2.19.7 10.2.19.29;
option routers 10.2.19.153;
option domain-name-servers 8.8.8.8;
deny unknown-clients;

host telefone_celular{
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 10.2.19.8;
}

Configuração do FIREWALL.

#!/bin/bash

localnet="enp0s3"
. /etc/init.d/functions

case "$1" in

start)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $localnet -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

iptables -t nat -A POSTROUTING -j MASQUERADE
echo $"Starting Firewall: "
exit 0;
;;
stop)
iptables -F
iptables -F -t nat
echo $"Stopping Firewall: "
return 0
exit 1;
;;
status)
iptables -L
;;

*) echo $"Usage: $0 {start|stop|status}"
exit 2
esac

1 0

Quote