AMARRANDO IP AO MAC [RESOLVIDO]

franklin.r
(usa Slackware)

Enviado em 25/04/2008 - 21:18h

Nesse caso a solução seria realmente criar vpn interna, correto?

pv
(usa Slackware)

Enviado em 08/05/2008 - 10:45h

Fala elgio, aki obsevei as suas dicas e usei a 2º funcionou perfeitamente, mas.....O meu problema é mais específico e aparentemente mais complicado..

Meus Clientes usam um proxy para navegação comum.

Sem usar o proxy ela funfa blzinha, mais com o proxy não deu certo, porque eles passam pelo meu gateway via proxy, ou seja, não tem FORWARD no roteador senão for pelo proxy...espero q tenha conseguido me explicar...

Cara se puder mim dar uma dica ou souber de algum artigo a respeito do assunto, agradeceria muito!!!

Vlw!!!!!

wandersonbpaula
(usa Debian)

Enviado em 18/07/2008 - 20:23h

Eu uso o Kurumin, mas deve funcionar em qualquer distro.
acho que nao tem um tutorial para isso, mas juntando as informações que pesquisei na net criei este mini-tuto.
na pasta /etc
crie um arquivo por nome "ethers" é o único nome que é aceito pelos comandos "arp" se for digitado o nome para este arquivo como por exemplo eters, ethes, etc não funcionará.

beleza dentro deste arquivo você irá colocar os ip's da seguinte forma:
ex.: 192.168.0.1 seguido de um espaço 00:00:00:00:00:00 os ip's conforme sua rede é claro.
assim:
192.168.0.1 00:00:00:00:00:00
192.168.0.2 00:00:00:00:00:00 se você não quiser que um ip fique preso ao mac é só não incluí-lo nesta lista
192.168.0.3 00:00:00:00:00:00
192.168.0.4 00:00:00:00:00:00
192.168.0.5 00:00:00:00:00:00
192.168.0.6 00:00:00:00:00:00
até...
192.168.0.254 00:00:00:00:00:00
use zeros no lugar de outro números ou letras hexadecimal pois mesmo que alguém mude o ip para driblar algum controle de banda para navegar com a banda total do link os zeros anulam a navegação, mesmo se ele usar como endereço mac na clonagem este mac 00:00:00:00:00:00 não conseguirá nada pois zero não é aceito como endereço mac.
neste exemplo tem que prestar atenção nos ips do servidor e no de broadcast que não precisa ser citado pois ninguém consegue navegar com ip duplicado na rede e o ip de bradcast nao serve para navegar na internet pois o servidor sempre esta utilizando ele para envio de informações na rede.
salve o arquivo "ethers" e o feche.
Crie outro arquivo pelo nome que quiser, mas eu indicaria algo tipo "arpa" ou outro que lembre o comando arp.
dentro deste aquivo digite o seguinte:
arp -f

isso mesmo digite o mesmo comando que você usaria para fixar os ip's nos mac's, salve e feche este arquivo.
Agora vamos dar comando de execução para o arquivo arpa.
Abra um terminal entre como usuário root e vá para o caminho deste arquivo criado por último.
ex.:
root@usuario:cd /etc
root@usuario:/etc
digite o comando de execução
root@usuario:chmod +x arpa

entre no arquivo de inicialização do seu linux e coloque o caminho para executar o arquivo arpa, para que toda vez que inicializar o sistema evite que voçê esqueça de fixar os ip's nos mac's que estão no arquivo ethers, pois o linux esquece quando é reinicializado e se não for dado o comando arp -f qualquer um pode alterar o mac ou o ip e continuar navegando, do contrário deverá dar o comando manualmente.
o arquivo de inicialização no debian e suas derivações tipo kurumim e ubuntu fica na pasta /etc/init.d/bootmisc.sh
em outros linux veja qual é esse arquivo de inicialização.
para abri-lo e editá-lo use um terminal como usuário root e use um editor de texto de sua preferencia e edite colocando o seguinte endereço após qualquer linha descomentada do seu arquivo em questão.
root@usuario:kedit bootmisc.sh
abrindo o arquivo edite-o colocando o seguinte cominho.
/etc/arpa

salve o arquivo bootmisc.sh
feche-o
Aqui você esta dizendo para que o computador quando for inicializado, não esqueça de dar o comando arp -f que esta dentro do arquivo executável arpa, que você deu comando de execução, em outras palavras, ele será executado automáticamente pelo sistema na inicialização.

faça o teste:
para saber se o sistema dará o comando arp -f automaticamente para você.
só funcionará se você ainda não deu o comando arp -f manualmente.

digite o comando arp -a para mostrar os mac's amarrados, se mostrar só alguns beleza é sinal que não deu o comando arp -f.
agora reinicie o sistema.
depois digite novamente arp -a
se carregar toda lista de ip x mac como na lista que foi introduzida no arquivo ethers a amarração automática feita no arquivo de inicialização "bootmisc.sh foi executado com sucesso.
toda vez que reiniciar o sistema não terá que se preoculpar com este comando.

agora se alguem tentar navegar com outro ip ou mac não conseguirá pois o comando arp monitora todas as mudanças feita nos usuários.

agora faça as adaptações no tipo de distriibuição linux que você usa pois o comando arp é usado em qualquer linux mas o arquivo de inicialização pode mudar de pasta e nome.


duvidas ou complementos para aprimorá este mini-tuto serão bem-vindos.

felipecfm
(usa Debian)

Enviado em 31/08/2008 - 09:41h

cara, pelo que eu entendi, vc tem varias classes interligadas na mesma rede (varias classes de ip dentro dos mesmos switchs), nesse seu caso, a forma mais eficaz de resolver esse problema é vc fazer Vlans, isso se os switchs forem gerenciaveis ou roteadores. vc vai subdividir seu ativos de redes para fazer redes individuais no mesmo equipamento. qual o modelo do seu switch? ou roteador? acho q posso te ajudar nisso ai....

mrjeday
(usa Debian)

Enviado em 14/02/2012 - 16:43h

************

Ei elgio, tenho este esquema na minha rede ethers+DHCP estático (ip amarrado ao MAC). Teria como criar um script para o ethers buscar o endereço no DHCP de modo a fazer apenas um tipo de cadastro? tenho uma rede para 500 notebooks, isso seria muito bom se existisse. Abraços

aluisiogasparjr
(usa Ubuntu)

Enviado em 06/01/2013 - 15:27h

elgio, desculpe-me se estiver errado, mas quando li isso, pensei em uma alternativa que não sei ao certo se na prática funcionaria, mas até que faz sentido. segue:

Já que tu liberou previamente os macs que devem ter acesso com seus respectivos Endereços IP, ao invés de preencher todos os ips com macs falsos (porém, sintaticamente corretos), não poderia fazer o seguinte?
---------------------------------------------------------------------------------
acl macs_lib ar...
acl rede_negada src 10.0.0.0/8
http_access allow macs_lib
http_access deny rede_negada
---------------------------------------------------------------------------------
ou então assim:
---------------------------------------------------------------------------------
acl macs_lib ar...
acl rede_negada src 10.0.0.0/8
http_access allow macs_lib !rede_negada
---------------------------------------------------------------------------------

Como disse, não sei se funciona, mas, se eu tivesse q fazer isso, a princípio, tentaria assim.

Desculpem-me postar num tópico de 2008, mas sei que membros, como o elgio, por exemplo, ainda são ativos aqui, logo, não vi problema em fazê-lo.