AMARRANDO IP AO MAC [RESOLVIDO]

1. AMARRANDO IP AO MAC [RESOLVIDO]

B_E_R_G®
B_E_R_G

(usa Fedora)

Enviado em 04/04/2008 - 15:07h

Pessoal, estou precisando d uma ajuda da comunidade, preciso amarrar alguns MAC a determinados ip's, de forma que somente o ip 192.168.0.1 fique amarrado ao Mac xx:xx:xx:xx:xx, e 192.168.0.2 não precisa ser amarrado ao MAc, mesmo q o usuário mude o ip ele não navegue. Desde já muito obrigado a comunidade, pois aqui eu aprendi muito e estou a aprender cada vez mais. ;D


  


2. Duas soluções

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 04/04/2008 - 15:21h

Solução A: sem iptables

No teu servidor crie um arp estático para estes Ips:

arp -s 192.168.0.1 XX:XX:XX:XX:XX:XX

Assim o teu computador não realizará ARP dinânimo para este IP e sempre enviara para este MAC. Como causa, mesmo que outro MAC copie o IP não receberá pacotes do roteado
Podes criar um arquivo /etc/ethers com a relacao

Ip MAC

um por linha, e apenas chamar:

arp -f

Ele carrega o que tem em /etc/ethers

Eu uso isto na faculdade, ainda tendo um script que minera os logs do dhcp para inserir arp estático :-D


3. Ops

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 04/04/2008 - 15:24h

Eu disse duas...

Segue a solução B.

Por iptables, podes usar o mudulo MAC:

iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source ! XX:XX:XX:XX:XX:XX -j DROP

Assim, se vier do IP mas não do MAC, DROPA!

A solução por iptables pode ser lenta se tu tiver MUITOS MACS para casar.



4. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Davi Rodrigues
davirodrigues

(usa Debian)

Enviado em 04/04/2008 - 17:04h

Boa Resposta Elgio, eu usso a segunda opção pois acho mais eficaz porem mais lenta, fica ao critério do nosso amigo.

Boa Sorte nos estudos.


5. Não FUNFA

B_E_R_G®
B_E_R_G

(usa Fedora)

Enviado em 10/04/2008 - 16:15h

Não estar funcionando com nenhuma das duas opções, o q mais posso fazer?


6. Erro no arp -f

B_E_R_G®
B_E_R_G

(usa Fedora)

Enviado em 11/04/2008 - 08:26h

quando chamo o arp - f , da o seguinte erro:
arp -f
arp: endereço inválido de hardware
arp: não foi possível configurar a linha 2 do arquivo etherfile /etc/ethers!
arp: endereço inválido de hardware
arp: não foi possível configurar a linha 3 do arquivo etherfile /etc/ethers!
arp: endereço inválido de hardware

o que pode ser, pois quando dou o comando arp -s 192.168.0.1 XX:XX:XX:XX:XX:XX ele aceita, mas eu mudo meu ip para 192.168.0.2, e continuo a navegar.
HELP PLX....


7. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Aldefax G. Kuhn
agk

(usa Debian)

Enviado em 11/04/2008 - 09:36h

Você tem que preencher o resto do /etc/ethers com mac inválidos nos IPs que você não vai usar.

Se você tem uma faixa de IPs classe C então são 253 linhas para você colocar no /etc/ethers.

O endereço do gateway, da rede e de broadcast não é necessário colocar.


8. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/04/2008 - 09:48h

Se o arp deu erro é porque a sintaxe do arquivo está errada. É possível conviver tranquilamente com arp estático e dinâmico.

Veja, pode ser DESEJÁVEL preencher os IPS com macs falsos (eu faço isto) mas não é NECESSÁRIO! Desejável porque se tu preencher os ips não usados (disponíveis) com ARPS invalidos (mas sintaticamente corretos) o cara que colocar este IP não funcionará.

A sintaxe do arquivo /etc/ethers é:

IP MAC

Sendo o MAC separado (NECESSARIAMENTE) com dois pontos.

Exemplo:
10.1.0.121 34:F2:00:F0:2E:11


Tu não colocou XX:XX:... literalmente, colocou?
Números MACS são HEXA decimal e cada par só pode ser 00 a 99 ou AA até FF. Algo com X, Y, ou Z é erro de sintaxe.

No meu arquivo, por exemplo, eu tenho isto:

10.1.0.118 00:00:00:F0:2E:11
10.1.0.119 00:00:00:F0:2E:11
10.1.0.120 00:00:00:F0:2E:11
10.1.0.121 00:00:00:F0:2E:11
10.1.0.122 00:00:00:F0:2E:11
10.1.0.123 00:00:00:F0:2E:11
10.1.0.124 00:00:00:F0:2E:11
10.1.0.125 00:00:00:F0:2E:11
10.1.0.126 00:00:00:F0:2E:11
10.1.0.127 00:00:00:F0:2E:11

Todos estes IPS não estão em uso, logo inventei este MAC. Agora se um esperto colocar o ip 10.1.0.126 na sua máquina não rola.


9. Pergunta ao Elgio

Franklin Rodrigues
franklin.r

(usa Slackware)

Enviado em 25/04/2008 - 18:07h

Elgio se eu fizer essa amarração de ip ao mac como vc descreveu eu consigo impedir que as outras máquinas não enxerguem essa rede 10.1.0.xx? se for possivel é só acrescentar mac a mac com respectivo ip ao
arp -s 10.1.0.1 XX:XX:XX:XX:XX:XX

ou

iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source ! XX:XX:XX:XX:XX:XX -j DROP

funciona?


10. Nao entendi

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 25/04/2008 - 18:34h

Realmente nao entendi a sua pergunta.

Como assim "Impidir que outra rede veja".

Mac address só existe na rede local!
Outras redes não irão ver mesmo! E isto por definição (uma pacote que vem DE FORA da tua rede sempre vem com o MAC do gateway. Se tu envia para FORA da REDE envia para o MAC do gateway).

??????


11. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Franklin Rodrigues
franklin.r

(usa Slackware)

Enviado em 25/04/2008 - 19:38h

não fui bem claro, o que acontece tenho 3 classes de ip distintas dentro da mesma lan (10.1.1.xx, 172.29.1.xx e 192.168.1.xx), porém hoje se o cliente da classe 10.1.1.xx configurar o ip 192.168.1.xx ele enxerga todas as máquinas e partições nela contidas, eu gostaria de impedir que isso aconteça.

Ou seja mesmo que o cliente 10.1.11xx configure qualquer outro ip se ele não estiver na lista de autorizados (mac x ip) ele não enxerga nada entedeu?

acho eu que seria algo parecido com uma vpn.
espero ter sido um pouco mais claro agora e desculpe a falta de didática.


12. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 25/04/2008 - 21:01h

Mas veja que se a comunicação é rede local (de 192.x para 192.X) ela não passa pelo roteador e logo nem tem como bloquear.

Tens um problema na origem: falsa rede fisica.

Tu não vai conseguir bloquear nada a menos que cada rede realmente esteja em redes distintas!



01 02