AMARRANDO IP AO MAC [RESOLVIDO]

13. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Franklin Rodrigues
franklin.r

(usa Slackware)

Enviado em 25/04/2008 - 21:18h

Nesse caso a solução seria realmente criar vpn interna, correto?


  


14. Muito legal essas dicas

Pedro Viana
pv

(usa Slackware)

Enviado em 08/05/2008 - 10:45h

Fala elgio, aki obsevei as suas dicas e usei a 2º funcionou perfeitamente, mas.....O meu problema é mais específico e aparentemente mais complicado..

Meus Clientes usam um proxy para navegação comum.

Sem usar o proxy ela funfa blzinha, mais com o proxy não deu certo, porque eles passam pelo meu gateway via proxy, ou seja, não tem FORWARD no roteador senão for pelo proxy...espero q tenha conseguido me explicar...

Cara se puder mim dar uma dica ou souber de algum artigo a respeito do assunto, agradeceria muito!!!

Vlw!!!!!



15. AMARRANDO IP AO MAC VIA ARP

wanderson b paula
wandersonbpaula

(usa Debian)

Enviado em 18/07/2008 - 20:23h

Eu uso o Kurumin, mas deve funcionar em qualquer distro.
acho que nao tem um tutorial para isso, mas juntando as informações que pesquisei na net criei este mini-tuto.
na pasta /etc
crie um arquivo por nome "ethers" é o único nome que é aceito pelos comandos "arp" se for digitado o nome para este arquivo como por exemplo eters, ethes, etc não funcionará.

beleza dentro deste arquivo você irá colocar os ip's da seguinte forma:
ex.: 192.168.0.1 seguido de um espaço 00:00:00:00:00:00 os ip's conforme sua rede é claro.
assim:
192.168.0.1 00:00:00:00:00:00
192.168.0.2 00:00:00:00:00:00 se você não quiser que um ip fique preso ao mac é só não incluí-lo nesta lista
192.168.0.3 00:00:00:00:00:00
192.168.0.4 00:00:00:00:00:00
192.168.0.5 00:00:00:00:00:00
192.168.0.6 00:00:00:00:00:00
até...
192.168.0.254 00:00:00:00:00:00
use zeros no lugar de outro números ou letras hexadecimal pois mesmo que alguém mude o ip para driblar algum controle de banda para navegar com a banda total do link os zeros anulam a navegação, mesmo se ele usar como endereço mac na clonagem este mac 00:00:00:00:00:00 não conseguirá nada pois zero não é aceito como endereço mac.
neste exemplo tem que prestar atenção nos ips do servidor e no de broadcast que não precisa ser citado pois ninguém consegue navegar com ip duplicado na rede e o ip de bradcast nao serve para navegar na internet pois o servidor sempre esta utilizando ele para envio de informações na rede.
salve o arquivo "ethers" e o feche.
Crie outro arquivo pelo nome que quiser, mas eu indicaria algo tipo "arpa" ou outro que lembre o comando arp.
dentro deste aquivo digite o seguinte:
arp -f

isso mesmo digite o mesmo comando que você usaria para fixar os ip's nos mac's, salve e feche este arquivo.
Agora vamos dar comando de execução para o arquivo arpa.
Abra um terminal entre como usuário root e vá para o caminho deste arquivo criado por último.
ex.:
[email protected]:cd /etc
[email protected]:/etc
digite o comando de execução
[email protected]:chmod +x arpa

entre no arquivo de inicialização do seu linux e coloque o caminho para executar o arquivo arpa, para que toda vez que inicializar o sistema evite que voçê esqueça de fixar os ip's nos mac's que estão no arquivo ethers, pois o linux esquece quando é reinicializado e se não for dado o comando arp -f qualquer um pode alterar o mac ou o ip e continuar navegando, do contrário deverá dar o comando manualmente.
o arquivo de inicialização no debian e suas derivações tipo kurumim e ubuntu fica na pasta /etc/init.d/bootmisc.sh
em outros linux veja qual é esse arquivo de inicialização.
para abri-lo e editá-lo use um terminal como usuário root e use um editor de texto de sua preferencia e edite colocando o seguinte endereço após qualquer linha descomentada do seu arquivo em questão.
[email protected]:kedit bootmisc.sh
abrindo o arquivo edite-o colocando o seguinte cominho.
/etc/arpa

salve o arquivo bootmisc.sh
feche-o
Aqui você esta dizendo para que o computador quando for inicializado, não esqueça de dar o comando arp -f que esta dentro do arquivo executável arpa, que você deu comando de execução, em outras palavras, ele será executado automáticamente pelo sistema na inicialização.

faça o teste:
para saber se o sistema dará o comando arp -f automaticamente para você.
só funcionará se você ainda não deu o comando arp -f manualmente.

digite o comando arp -a para mostrar os mac's amarrados, se mostrar só alguns beleza é sinal que não deu o comando arp -f.
agora reinicie o sistema.
depois digite novamente arp -a
se carregar toda lista de ip x mac como na lista que foi introduzida no arquivo ethers a amarração automática feita no arquivo de inicialização "bootmisc.sh foi executado com sucesso.
toda vez que reiniciar o sistema não terá que se preoculpar com este comando.

agora se alguem tentar navegar com outro ip ou mac não conseguirá pois o comando arp monitora todas as mudanças feita nos usuários.

agora faça as adaptações no tipo de distriibuição linux que você usa pois o comando arp é usado em qualquer linux mas o arquivo de inicialização pode mudar de pasta e nome.


duvidas ou complementos para aprimorá este mini-tuto serão bem-vindos.


16. Vlan

Felipe Cardoso
felipecfm

(usa Debian)

Enviado em 31/08/2008 - 09:41h

cara, pelo que eu entendi, vc tem varias classes interligadas na mesma rede (varias classes de ip dentro dos mesmos switchs), nesse seu caso, a forma mais eficaz de resolver esse problema é vc fazer Vlans, isso se os switchs forem gerenciaveis ou roteadores. vc vai subdividir seu ativos de redes para fazer redes individuais no mesmo equipamento. qual o modelo do seu switch? ou roteador? acho q posso te ajudar nisso ai....


17. Re: AMARRANDO IP AO MAC [RESOLVIDO]

Victor Figueira
mrjeday

(usa Debian)

Enviado em 14/02/2012 - 16:43h

elgio escreveu:

Solução A: sem iptables

No teu servidor crie um arp estático para estes Ips:

arp -s 192.168.0.1 XX:XX:XX:XX:XX:XX

Assim o teu computador não realizará ARP dinânimo para este IP e sempre enviara para este MAC. Como causa, mesmo que outro MAC copie o IP não receberá pacotes do roteado
Podes criar um arquivo /etc/ethers com a relacao

Ip MAC

um por linha, e apenas chamar:

arp -f

Ele carrega o que tem em /etc/ethers

Eu uso isto na faculdade, ainda tendo um script que minera os logs do dhcp para inserir arp estático :-D


************

Ei elgio, tenho este esquema na minha rede ethers+DHCP estático (ip amarrado ao MAC). Teria como criar um script para o ethers buscar o endereço no DHCP de modo a fazer apenas um tipo de cadastro? tenho uma rede para 500 notebooks, isso seria muito bom se existisse. Abraços


18. Sobre alternativa

Danilo Antunes de Oliveira
aluisiogasparjr

(usa Ubuntu)

Enviado em 06/01/2013 - 15:27h

elgio, desculpe-me se estiver errado, mas quando li isso, pensei em uma alternativa que não sei ao certo se na prática funcionaria, mas até que faz sentido. segue:

Já que tu liberou previamente os macs que devem ter acesso com seus respectivos Endereços IP, ao invés de preencher todos os ips com macs falsos (porém, sintaticamente corretos), não poderia fazer o seguinte?
---------------------------------------------------------------------------------
acl macs_lib ar...
acl rede_negada src 10.0.0.0/8
http_access allow macs_lib
http_access deny rede_negada
---------------------------------------------------------------------------------
ou então assim:
---------------------------------------------------------------------------------
acl macs_lib ar...
acl rede_negada src 10.0.0.0/8
http_access allow macs_lib !rede_negada
---------------------------------------------------------------------------------

Como disse, não sei se funciona, mas, se eu tivesse q fazer isso, a princípio, tentaria assim.

Desculpem-me postar num tópico de 2008, mas sei que membros, como o elgio, por exemplo, ainda são ativos aqui, logo, não vi problema em fazê-lo.

elgio escreveu:

Se o arp deu erro é porque a sintaxe do arquivo está errada. É possível conviver tranquilamente com arp estático e dinâmico.

Veja, pode ser DESEJÁVEL preencher os IPS com macs falsos (eu faço isto) mas não é NECESSÁRIO! Desejável porque se tu preencher os ips não usados (disponíveis) com ARPS invalidos (mas sintaticamente corretos) o cara que colocar este IP não funcionará.

A sintaxe do arquivo /etc/ethers é:

IP MAC

Sendo o MAC separado (NECESSARIAMENTE) com dois pontos.

Exemplo:
10.1.0.121 34:F2:00:F0:2E:11


Tu não colocou XX:XX:... literalmente, colocou?
Números MACS são HEXA decimal e cada par só pode ser 00 a 99 ou AA até FF. Algo com X, Y, ou Z é erro de sintaxe.

No meu arquivo, por exemplo, eu tenho isto:

10.1.0.118 00:00:00:F0:2E:11
10.1.0.119 00:00:00:F0:2E:11
10.1.0.120 00:00:00:F0:2E:11
10.1.0.121 00:00:00:F0:2E:11
10.1.0.122 00:00:00:F0:2E:11
10.1.0.123 00:00:00:F0:2E:11
10.1.0.124 00:00:00:F0:2E:11
10.1.0.125 00:00:00:F0:2E:11
10.1.0.126 00:00:00:F0:2E:11
10.1.0.127 00:00:00:F0:2E:11

Todos estes IPS não estão em uso, logo inventei este MAC. Agora se um esperto colocar o ip 10.1.0.126 na sua máquina não rola.






01 02