emerson escreveu:É possível sim.
Vá em configuração de DHCP e DNS, vá em Leases atuais do DHCP e Reservas e clique em adicionar nova reversa.
Informe Mac e IP e clique em enviar.
Faça amarração de IPxMac no Firewall simplificado.
Só quem vai se conectar é quem estiver liberado no firewall.
luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
daniel.uramg escreveu:alem de fazer a reserva de IP-MAC limite o servidor DHCP somente na quantidade necessaria
por ex. vc tem 10 estaçoes, e seu BFW é: 192.168.0.1
configure o servidor DHCP para atribuir 192.168.0.2 ate 192.168.0.11 (esses IPs vão estar amarrados aos 10 MACs)
e coloque no arquivo de range tambem:
#rede falsa
dhcp-range=false,172.10.200.4,172.10.200.30
dhcp-option=false,3,172.10.200.254
dhcp-option=false,6,208.67.222.222,208.67.220.220
assim os impostores vão ter um IP atribuido, porem estarão fora de sua rede, e não vao conseguir navegar tambem
pruda escreveu:luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
Luapufo, tenho certeza que isso não é necessário, em visão Linux é claro!eu quero liber 1 ou 30 IP apenas no dhcp na range /32, eu fazia isso antes no Debian.
Coloquei clientes com DHCP ip final 3 e outro com 99 e outro 146, sem problemas .
para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
luapufo escreveu:pruda escreveu:luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
Luapufo, tenho certeza que isso não é necessário, em visão Linux é claro!eu quero liber 1 ou 30 IP apenas no dhcp na range /32, eu fazia isso antes no Debian.
Coloquei clientes com DHCP ip final 3 e outro com 99 e outro 146, sem problemas .
ai que voce esta enganado, vamos ao exemplo
voce colocou la no dhcp ou em range para criar a faixa de:
192.168.0.20 ate 192.168.0.254
voce fez reserva para somente 100 ip´s, qualquer pessoa que conectar nesta rede e não estiver cadastrada em nada, vai pegar ip de qualquer maneira, pois existe ip´s uqe noa foram reservado para niguem, por isso minha respostapara voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
# MACS permitidos
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B7 -j accept
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B8 -j accept
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B9 -j accept
...
# Nega o resto
iptables -A FORWARD -m mac -mac-source ! FF:FF:FF:FF:FF:FF -j DROP
iptables -A FORWARD -m mac -mac-source ! 00:00:00:0:00:00 -j DROP
Obs: Os macs do dns, gateway tambem tem que entrar na lista de macs permitidos
Bom dia
Ante de migrar para o BFW utilizava um Debin, configurado por um tecnio da seguinte maneira:
O servidor DHCP era ativado ma somente para quem estava no LEASE
, quem não estava não recebia IP.
É possível isso no BFW?? Porque me incomoda o fato de qualquer um que plugar na minha rede ter acesso a ela
porque recebe IP. O bom é dar conectividade nula neles, sem o mesmo tempo desativar o dhcp e bloquear os leases..
Obrigado
No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore
pruda escreveu:daniel.uramg escreveu:alem de fazer a reserva de IP-MAC limite o servidor DHCP somente na quantidade necessaria
por ex. vc tem 10 estaçoes, e seu BFW é: 192.168.0.1
configure o servidor DHCP para atribuir 192.168.0.2 ate 192.168.0.11 (esses IPs vão estar amarrados aos 10 MACs)
e coloque no arquivo de range tambem:
#rede falsa
dhcp-range=false,172.10.200.4,172.10.200.30
dhcp-option=false,3,172.10.200.254
dhcp-option=false,6,208.67.222.222,208.67.220.220
assim os impostores vão ter um IP atribuido, porem estarão fora de sua rede, e não vao conseguir navegar tambem
Muito interessante essa sua ideia, vou dar uma estudada e ai posto os resultados... Pergunta de leigo: Onde adiciono essa range falsa?em dhcp custom configuration??
só não se esqueça de "limitar" o servidor DHCP (Servidor DHCP - Configuração) somente a quantidade necessária, que está amarrada aos MACs!
poste seus resultados!
coidiloco escreveu:Deixa eu meter o dedo...
Leandro,
O conhecimento de base eh o que diferencia os tecnicos dos mestres. Acho que esse eh seu lema tambem.No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!
Se gera trafego no firewall, eh possivel bloquear garantidamente.
Alem de tudo isso acima, saber usar a ferramenta eh muito importante tambem, o que faltou ai foi a leitura do manual do DNSMasq.
Pruda, o que vc quer eh possivel pelo proprio DNSMasq, mas tem furo, o certo eh travar no firewall ou combinar os dois.
Adicione no Arquivo de Reservas DHCP
- Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore
e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.
uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).
Juntando tudo dava pra montar um filtro por MAC 100% num addon, fica a sugestao aqui.
Entao "RTFM" & "STFG"...
http://linux.die.net/man/8/dnsmasq
Abrass...
coidiloco escreveu:....
Adicione no Arquivo de Reservas DHCP
- Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore
e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.
uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).
...
Marcos do Vale escreveu:Isto aí é show de bola pra eliminar o lance de ter q amarrar IP x MAC no Firewall Simplificado.
Eu sempre me perguntei se teríamos uma saída que evitasse o trabalho dobrado.
Está anotado pra sair numa release.
Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...
Eu vou pedir pra esse meu amigo as regras criadas, porem nosso servidor ficou inacabado pois ele estava configurando ferramenta por ferramenta... ele por exemplo não teve tempo de implantar um load balance... mas essa questao de firewall, dhcp era perfeita...se colocasse um ip não amarrado no firewall não navegava na net, porem tinha acesso à rede, mas para isso teria de se saber o range da rede,
...complicando um pouco mais para os leigos. Essa idéia do addon muito jóia, mas nem da pra cobrar muito do pessoal porque eles ja estão fazendo até demais. Vou tentar conseguir o script dele... mas o caminho ta mostrado acima. Obrigado
coidiloco escreveu:Deixa eu meter o dedo...
Leandro,
O conhecimento de base eh o que diferencia os tecnicos dos mestres. Acho que esse eh seu lema tambem.No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!
Se gera trafego no firewall, eh possivel bloquear garantidamente.
Alem de tudo isso acima, saber usar a ferramenta eh muito importante tambem, o que faltou ai foi a leitura do manual do DNSMasq.
Pruda, o que vc quer eh possivel pelo proprio DNSMasq, mas tem furo, o certo eh travar no firewall ou combinar os dois.
Adicione no Arquivo de Reservas DHCP
- Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore
e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.
uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).
Juntando tudo dava pra montar um filtro por MAC 100% num addon, fica a sugestao aqui.
Entao "RTFM" & "STFG"...
http://linux.die.net/man/8/dnsmasq
Abrass...
Marcos do Vale escreveu:No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)
Valeu coidiloco, foi um verdadeiro "exame de próstata" para o bem do BFW
coidiloco escreveu:Entao...
Se alguem fizer a alteraçao no DHCP do WebAdmin pra criar o tal bloqueio total por MAC eu faço o script pra ativar as regras no iptables. Quem topa
Off-topic (nao resisti) :Valeu coidiloco, foi um verdadeiro "exame de próstata" para o bem do BFW
Pois eh, eu perguntei, "BFW ta sentindo alguma coisa?!", soh escutei um beeeeeeeeiiiiiip e ele disse: "Sinto que te amuuu!!"
velhinha essa mas...
Abrass...
manauara escreveu:Marcos do Vale escreveu:No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)
Só acrescentando
LEASE = Endereço IP atribuído a um endereço MAC com tempo de renovação determinado (pode ou não ser RESERVADO)
netlabor escreveu:Ahh e tenho uma pergunta pro pruda pra descontrair :Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...
pruda escreveu:netlabor escreveu:Ahh e tenho uma pergunta pro pruda pra descontrair :Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...
Que diabo de lease é esse que você tanto fala, ou é RANGE de IP ou é LEASE (tempo de vida que o DHCP tem para enviar um novo IP para a estação)??? Estou confuso...
Putz... compliquei a questão....é que queria dizer que todos os clientes estão com reservas no dhcp e " lease infinite"!! ^^
por Marcos do Vale » Sex Jul 17, 2009 8:58 am
No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)
Voltar para BrazilFW 2.x - Ajuda em Geral (Todas as Línguas)
Usuários navegando neste fórum: Nenhum usuário registrado e 7 visitantes