amarrar mac address ao ip usandoo debian [RESOLVIDO]

leo1973
(usa Debian)

Enviado em 29/12/2009 - 17:20h

galera sempre tento amarrar o ip ao mac usando iptables mas nunca funciona de uma maneira segura se alguem puder postar uma conf explicando passo a passo para entendimento meu e de quem mas tiver esta duvida ficarei muito agradecido. vlw..
o motivo e q tenho uma net compartilhada e tem gente usando sem rachar no final do mes com a galera po nao e justo por isso quero aprender e bloquea-lo para que os outros naopaguem por eles. obrigado desde ja.

Diede
(usa Debian)

Enviado em 29/12/2009 - 17:41h

Sua máquina que compartilha a net tem duas placas de rede, né?
Digamos que eth1 seja a placa ligada a rede local. Você pode então criar para cada IP dos seus "usuários" uma regra que amarre o mac.
Se você compartilha via nat, será algo como : iptables -t filter -A FORWARD -s IP -m mac --mac-source MAC -j ACCEPT
Se você compartilha por proxy, será algo como : iptables -t filter -A INPUT -s IP -m mac --mac-source MAC -j ACCEPT

Digamos que você tenha o cliente 192.168.0.10 com MAC 00:11:22:33:44:55 e 192.168.0.11 com MAC 00:11:22:2F:44:55

Você poderia então usar as regras:
iptables -t filter -i eth1 -A FORWARD -s 192.168.0.10 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
iptables -t filter -i eth1 -A FORWARD -s 192.168.0.11 -m mac --mac-source 00:11:22:2F:44:55 -j ACCEPT
(Continue repetindo a regra para todos os IP's dos clientes, com seus respectivos MAC's)
iptables -t filter -i eth1 -A FORWARD -j DROP

Isso aceitará determinado IP em determinado MAC, e o que não bater será dropado.
Mude o -A FORWARD para -A INPUT caso não compartilhar diretamente por NAT (ou seja, se usar Squid).

É importante lembrar também que se você já tem um script de firewall, essas regras acima devem ser as primeiras, pois o iptables pára de processar as regras quando acha uma condição verdadeira...

R.S.P Andre
(usa Debian)

Enviado em 29/12/2009 - 21:47h

ola!
Diede,
essa dica tbm me interessou.

eu firewall/iptables é configurado dessa maneira:

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128


no caso eu ponho essa regra antes de qual dessas linha?

um grande abraço e desde te agradeço.

Diede
(usa Debian)

Enviado em 29/12/2009 - 23:50h

R.S.P Andre,
Seu firewall é composto basicamente apenas por regras na tabela nat. No seu caso, por não haver nada na tabela filter, e consequentemente nada que poderia casar com a condição das regras que amarrram o MAC e invalidá-las, você pode colocar as regras que amarram IP ao MAC antes ou depois das suas, pois não fará diferença na prática. Mas, se você pretende expandir futuramente seu firewall, é mais prático deixar as regras do "amarramento ao MAC" em primeiro, para evitar que elas sejam "invalidadas" por outras...

R.S.P Andre
(usa Debian)

Enviado em 30/12/2009 - 00:07h

obrigado Diede!

vo fazer isso agora meesmo.

te agradeço muito pela atençao para com este iniciante.

um abraço.

T+.

leo1973
(usa Debian)

Enviado em 30/12/2009 - 08:18h

obrigado muito bem esclarecido vi pela manha sua resposta e fiquei feliz de ver da maneira que vc tratou de modo claro. um abraço e feliz ano novo sei que estas duvidas vao ajudar mas pessoas so nao sei semarcar como resolvido o topido sumira. mas vc merece que marque como resolvido. vlw.