MAC

Mortinho
(usa Slackware)

Enviado em 06/10/2013 - 17:23h

Olá galera do VOL, precisando de uma grande ajuda !
O meu problema é o seguinte, é que na minha rede uso o firewall + iptables, enfim, recebo um link na minha placa eth0, trabalhando em nat e mandando até a placa eth1, conectando na Wlan0 de um roteador TP-Link e distribuindo, via wi-fi para notebook's, tablet's enfim, queria uma dica de como deixar o meu roteador sem senha, pra quando as pessoas forem se conectar, primeiramente eu ter que cadastrar o mac delas no meu firewall, alguém me dá uma ideia de como fazer isso?

dzm_linux
(usa Debian)

Enviado em 09/10/2013 - 18:24h

Amigo,

Se entendi corretamente, você; quer que os usuários se conectem à rede sem fio sem ter que autenticar, em compensação só poderá acessar a internet quem tiver o endereço MAC cadastrado no firewall.

Sendo assim, basta deixar a sua rede wireless sem senha, e adicionar os endereços MAC direto no firewall.
Pesquise sobre criar regras no iptables baseadas em endereços MAC.

Só uma dica:

É relativamente fácil descobrir os endereços MAC de máquinas pertencentes a uma rede interna, e mais fácil ainda forjar um endereço MAC falso para poder usar a internet, neste caso.
Portanto, fique atento se quiser mesmo seguir esta configuração.

Abraços

px
(usa Debian)

Enviado em 09/10/2013 - 20:12h

Bom na minha humilde opinião acho que configurar uma senha com criptografia WPA2 já ta de bom tamanho, pois vai dar mais trabalho digitar os MAC do que digitar a senha na primeira vez que for se conectar (muitos programas armazenam a última senha no pc)

Buckminster
(usa Debian)

Enviado em 09/10/2013 - 20:23h

Mais um.

Mas se você quer realmente mexer nas configurações do teu roteador wireless, veja a marca e o modelo dele e procure o Manuel na internet.

andrecanhadas
(usa Debian)

Enviado em 09/10/2013 - 23:01h

Sou da mesma opinião é inseguro Mas se quiser normalmente nos roteadores tem mac filter se quiser arriscar

Mortinho
(usa Slackware)

Enviado em 10/10/2013 - 06:36h

já tentei de todas as formas, mais ainda não encontrei algo que resolvesse meu problema,já li algumas coisas sobre módulos MAC, mais ainda nada :/. Eu sei que não é 100% seguro deixa sem autenticação no roteador, mais é apenas para um mini servidor residencia, apenas para afins de testes, procurando aprofundar mais o conhecimento, mais enfim, obrigado por quem deu atenção, e ficarei grato se mais alguém vier com algumas soluções, desde já agradeço Obrigado ! ;)

Mortinho
(usa Slackware)

Enviado em 10/10/2013 - 06:38h

e também uma das soluções que me deram foi bloquear a tabela FORWARD, mais quando bloqueio ela perdo acesso com algumas coisas :/

px
(usa Debian)

Enviado em 10/10/2013 - 16:50h

Bom se for para teste, usa um squid para gerenciar os logins é mais viável e possui melhor configuração de várias opções e o cache local "acelera" a navegação se tiver mais de uma máquina vale a pena.

Para fazer a "autenticação" pelo MAC no iptables, dê uma lida nesse artigo de um colega aqui do vol, é excelente!

http://www.vivaolinux.com.br/artigo/IPtables-Trabalhando-com-Modulos/?pagina=2

Buckminster
(usa Debian)

Enviado em 10/10/2013 - 18:51h

Sem Iptables:

No teu servidor crie um arquivo /etc/ethers e coloque dentro uma relação

IP MAC

Exemplo:
192.168.1.123 XX:XX:XX:XX:XX:XX
192.168.1.234 XX:XX:XX:XX:XX:XX

um por linha.

E coloque o comando arp -f no arquivo de inicialização (no Debian, por exempo, é em /etc/rc.local). O comando arp -f carrega o arquivo /etc/ethers.

Com Iptables, use o módulo MAC:

iptables -A FORWARD -s 192.168.1.123 -m mac --mac-source ! XX:XX:XX:XX:XX:XX -j DROP

Porém cuidado, se o DHCP mudar o IP da máquina, ela não navegará, pois o IP está amarrado ao MAC.
A solução por iptables pode ser lenta se forem muitos MACs.