DHCP-só liberar ips pra macs cadastrados (Resolvido)

Fórum destinado a discussões gerais e ajuda aos usuários do BrazilFW 2.x, para os idiomas (Inglês, Espanhol, Português e outros)
BrazilFW 2.x - Ayuda en general (todos los idiomas)
Foro de discusión general y ayudar a los usuarios BrazilFW 2.x para idiomas (Inglés, español, portugués y otros)
BrazilFW 2.x - Help in General (All Languages)
Forum for general discussions and help for users of BrazilFW 2.x, for languages (English, Spanish, Portuguese and others)

DHCP-só liberar ips pra macs cadastrados (Resolvido)

Mensagempor pruda » Ter Jul 14, 2009 11:12 am

Bom dia
Ante de migrar para o BFW utilizava um Debin, configurado por um tecnio da seguinte maneira:
O servidor DHCP era ativado ma somente para quem estava no LEASE, quem não estava não recebia IP.
É possível isso no BFW?? Porque me incomoda o fato de qualquer um que plugar na minha rede ter acesso a ela
porque recebe IP. O bom é dar conectividade nula neles, sem o mesmo tempo desativar o dhcp e bloquear os leases..
Obrigado
Editado pela última vez por pruda em Sex Nov 20, 2009 2:29 am, em um total de 1 vez.
pruda
 

Re: DHCP -so utilizar leases

Mensagempor emerson » Ter Jul 14, 2009 11:21 am

É possível sim.
Vá em configuração de DHCP e DNS, vá em Leases atuais do DHCP e Reservas e clique em adicionar nova reversa.
Informe Mac e IP e clique em enviar.
Faça amarração de IPxMac no Firewall simplificado.
Só quem vai se conectar é quem estiver liberado no firewall.
O BFW não é 10... é 11... é show!!!!!!!
Linux User #426242
Avatar do usuário
emerson
BFW Beneméritos
 
Mensagens: 798
Registrado em: Seg Out 30, 2006 6:06 pm
Localização: Nova Friburgo - RJ - Brasil
BrazilFW Box:

Re: DHCP -so utilizar leases

Mensagempor luapufo » Ter Jul 14, 2009 12:00 pm

para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
luapufo
 

Re: DHCP -so utilizar leases

Mensagempor daniel.uramg » Ter Jul 14, 2009 5:09 pm

alem de fazer a reserva de IP-MAC limite o servidor DHCP somente na quantidade necessaria
por ex. vc tem 10 estaçoes, e seu BFW é: 192.168.0.1
configure o servidor DHCP para atribuir 192.168.0.2 ate 192.168.0.11 (esses IPs vão estar amarrados aos 10 MACs)
e coloque no arquivo de range tambem:

#rede falsa
dhcp-range=false,172.10.200.4,172.10.200.30
dhcp-option=false,3,172.10.200.254
dhcp-option=false,6,208.67.222.222,208.67.220.220

assim os impostores vão ter um IP atribuido, porem estarão fora de sua rede, e não vao conseguir navegar tambem
Avatar do usuário
daniel.uramg
BFW Beneméritos
 
Mensagens: 1426
Registrado em: Qua Mai 20, 2009 4:42 pm
Localização: Taguatinga - DF
BrazilFW Box: Athlon XP 2400+ 1Gb RAM HD 20Gb
BFW 2.31.10+SP1, Squid, DNS Cache, EasyCaptive, MySAR, Apache, SCA, SqStat, EasyBackup. Bandwidth, Pure-FTP

Re: DHCP -so utilizar leases

Mensagempor pruda » Ter Jul 14, 2009 9:35 pm

emerson escreveu:É possível sim.
Vá em configuração de DHCP e DNS, vá em Leases atuais do DHCP e Reservas e clique em adicionar nova reversa.
Informe Mac e IP e clique em enviar.
Faça amarração de IPxMac no Firewall simplificado.
Só quem vai se conectar é quem estiver liberado no firewall.


Sim Emerson isso eu ja fiz, tudo certinho.. eu só queria destivar o dhcp no geral. Como disse, meu outro servidor o dhcp estava desativado, exceto quando eu cadastrava um mac, atribuia IP e dava um restart no dhcp server, entendeu? O DHCP só funcionava pra qual macXip que eu quisesse!
pruda
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Ter Jul 14, 2009 9:39 pm

luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso

Luapufo, tenho certeza que isso não é necessário, em visão Linux é claro!eu quero liber 1 ou 30 IP apenas no dhcp na range /32, eu fazia isso antes no Debian.
Coloquei clientes com DHCP ip final 3 e outro com 99 e outro 146, sem problemas .
Editado pela última vez por pruda em Ter Jul 14, 2009 9:47 pm, em um total de 1 vez.
pruda
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Ter Jul 14, 2009 9:41 pm

daniel.uramg escreveu:alem de fazer a reserva de IP-MAC limite o servidor DHCP somente na quantidade necessaria
por ex. vc tem 10 estaçoes, e seu BFW é: 192.168.0.1
configure o servidor DHCP para atribuir 192.168.0.2 ate 192.168.0.11 (esses IPs vão estar amarrados aos 10 MACs)
e coloque no arquivo de range tambem:

#rede falsa
dhcp-range=false,172.10.200.4,172.10.200.30
dhcp-option=false,3,172.10.200.254
dhcp-option=false,6,208.67.222.222,208.67.220.220

assim os impostores vão ter um IP atribuido, porem estarão fora de sua rede, e não vao conseguir navegar tambem


Muito interessante essa sua ideia, vou dar uma estudada e ai posto os resultados... Pergunta de leigo: Onde adiciono essa range falsa?em dhcp custom configuration??
pruda
 

Re: DHCP -so utilizar leases

Mensagempor luapufo » Ter Jul 14, 2009 10:01 pm

pruda escreveu:
luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso

Luapufo, tenho certeza que isso não é necessário, em visão Linux é claro!eu quero liber 1 ou 30 IP apenas no dhcp na range /32, eu fazia isso antes no Debian.
Coloquei clientes com DHCP ip final 3 e outro com 99 e outro 146, sem problemas .

ai que voce esta enganado, vamos ao exemplo
voce colocou la no dhcp ou em range para criar a faixa de:
192.168.0.20 ate 192.168.0.254
voce fez reserva para somente 100 ip´s, qualquer pessoa que conectar nesta rede e não estiver cadastrada em nada, vai pegar ip de qualquer maneira, pois existe ip´s uqe noa foram reservado para niguem, por isso minha resposta
para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso
luapufo
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Ter Jul 14, 2009 11:39 pm

luapufo escreveu:
pruda escreveu:
luapufo escreveu:para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso

Luapufo, tenho certeza que isso não é necessário, em visão Linux é claro!eu quero liber 1 ou 30 IP apenas no dhcp na range /32, eu fazia isso antes no Debian.
Coloquei clientes com DHCP ip final 3 e outro com 99 e outro 146, sem problemas .

ai que voce esta enganado, vamos ao exemplo
voce colocou la no dhcp ou em range para criar a faixa de:
192.168.0.20 ate 192.168.0.254
voce fez reserva para somente 100 ip´s, qualquer pessoa que conectar nesta rede e não estiver cadastrada em nada, vai pegar ip de qualquer maneira, pois existe ip´s uqe noa foram reservado para niguem, por isso minha resposta
para voce forncer ip somente quem estiver cadastrado, vc tem que criar range para isso


Como enganado?? Eu fazia isso Luapufo aki!! eu tinha uma rede 192.168.2 a 254... NINGUEM pegava IP na rede! Então aparecia um cliente com um noot book que usava na empresa e em casa, logo não podia ter um Ip fixo, o que eu fazia? Cadastrava o mac dele , atribuia um Ip pra ele e SOMENTE ELE conseguia um Ip por DHCP... isso atraves de uma interface.
Não me pergunte como pois o cara que configurou isso no Debian é o famoso "Kabeça" UFPR- Ciencias a Computação, meu antigo sócio que hoje não esta mais na empresa, infelizmente ...
pruda
 

Re: DHCP -so utilizar leases

Mensagempor coidiloco » Qua Jul 15, 2009 12:50 am

# MACS permitidos
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B7 -j accept
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B8 -j accept
iptables -A FORWARD -m mac -mac-source 00:60:08:91:CC:B9 -j accept
...

# Nega o resto
iptables -A FORWARD -m mac -mac-source ! FF:FF:FF:FF:FF:FF -j DROP
iptables -A FORWARD -m mac -mac-source ! 00:00:00:0:00:00 -j DROP

Obs: Os macs do dns, gateway tambem tem que entrar na lista de macs permitidos


Obs: a FORWARD acredito que nao seja a melhor chain para essas regras.. nao seria melhor a INPUT?

Agora soh falta o script pra ler as reservas e liberar os MACs.. :D

FONTE:http://listas.cipsga.org.br/pipermail/linux-br/2003-February/009871.html
Flws... :o!
coidiloco
 

Re: DHCP -so utilizar leases

Mensagempor netlabor » Qua Jul 15, 2009 2:37 am

Primeiramente, bem vindo ao fórum, e sempre eu sugiro a todos que estudem redes (protocolos, topologias etc) independente do SO.

Me parece que o seu servidor é fora do padrão comum de configuração, talvez para proporcionar mais segurança etc, enfim.

O BFW tem evoluído (principalmente na versão 3) muito em seus PADRÕES sem, contudo, vedar a liberdade das configurações livres. As distros linux (Debian inclusive) permitem toda a sorte (ou azar) de configurações, essa liberdade (para mim excessiva até!) cria as aberrações de servidores "sem pai", vejo raramente os (ditos :roll: ) técnicos/administradores fazerem algo óbvio e fundamental: Documentar o trabalho!

Concorda que o Kabeça ( :shock: ) poderia ter feito um design das linhas gerais do seu serviço dhcp!?! Facilitaria e muito seu trabalho!

Então estude o texto abaixo e seus respectivos hyperlinks, domine o que você tiver necessidade e prossiga o uso com o BFW (como qualquer outro SO), e documente, documente, documente, afinal você quer crescer (presumo) e, para multiplicar seu conhecimento, vale muito documentações e manuais operacionais!

E tenha sempre em mente, que aqui no fórum do BFW a qualidade da sua resposta vai depender da qualidade de sua pergunta! (Detalhe o "Para, aonde, como e porque" ;-)!

A visão DHCP não é linux e tampouco windows e sim sob a tutela do RFC 2131 (http://tools.ietf.org/html/rfc2131)

Sua pergunta:
Bom dia
Ante de migrar para o BFW utilizava um Debin, configurado por um tecnio da seguinte maneira:
O servidor DHCP era ativado ma somente para quem estava no LEASE

O correto é RANGE/FAIXA e não LEASE

, quem não estava não recebia IP.
É possível isso no BFW?? Porque me incomoda o fato de qualquer um que plugar na minha rede ter acesso a ela
porque recebe IP. O bom é dar conectividade nula neles, sem o mesmo tempo desativar o dhcp e bloquear os leases..
Obrigado


O que você quer é (a grosso modo) criar um DHCP para IPs Estáticos com amarração pelo MAC.

No DHCP crie uma faixa de IP que você vai utilizar efetivamente, no serviço DHCP você pode solicitar que, dentro do range pré definido, o cliente receba o IP e este fique indefinidamente reservado para ele através da informação do MAC. Essa característica do servidor DHCP vai criar a situação em que a estação vai receber a mensagem de "conectividade nula ou limitada" (Windows).

No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!

Boa sorte!

Leandro

PS: Estude o material abaixo.

Serviço DHCP

O DHCP, Dynamic Host Configuration Protocol (Protocolo de Configuração Dinâmica de Estações), é um protocolo de serviço TCP/IP que oferece configuração dinâmica de estações, com concessão de endereços IP do host e outros parâmetros de configuração para estações de rede. O DHCP surgiu como standart em Outubro de 1993. O RFC 2131 (http://tools.ietf.org/html/rfc2131) contém as especificações mais atuais (Março de 1997).

Resumidamente, o DHCP opera da seguinte forma:
* Uma estação (host) envia um pacote UDP em broadcast (destinado a todas as estações) com um pedido DHCP
* Os servidores DHCP que capturarem este pacote irão responder (se a estação se enquadrar numa série de critérios — ver abaixo) com um pacote com configurações onde constará, pelo menos: um endereço IP, uma máscara de rede e outros dados opcionais, como o gateway, servidores de DNS etc.

O DHCP usa um modelo cliente-servidor, no qual o servidor DHCP mantém o gerenciamento centralizado dos endereços IP usados na rede.

Critérios de atribuição de IPs

O DHCP oferece três tipos de alocação de endereços IP (Cenário em que a estação sempre estará em modo dinâmico):

* Atribuição Manual - Onde existe uma tabela de associação entre o Endereço MAC do cliente (que será comparado através do pacote broadcast recebido) e o endereço IP (e restantes dados) a fornecer. Esta associação é feita manualmente pelo administrador de rede; por conseguinte, apenas os clientes cujo MAC consta nesta lista poderão receber configurações desse servidor;

* Atribuição automática - Onde o cliente obtém um endereço de uma faixa (range) de endereços IPs possíveis, especificado pelo administrador. Geralmente não existe vínculo entre os vários MAC habilitados a essa faixa (range) de endereços;

* Atribuição dinâmica - O único método que dispõe a reutilização dinâmica dos endereços. O administrador disponibiliza uma faixa (range) de endereços possíveis; assim, cada estação terá o software TCP/IP, da sua interface de rede, configurado para requisitar um endereço pelo DHCP assim que o sistema inicie. A alocação utiliza um mecanismo de aluguel do endereço, caracterizado por um tempo de vida (lease). Após o sistema ser desligado, o tempo de vida (lease) naturalmente vai expirar, e da próxima vez que o sistema iniciar, o endereço provavelmente será outro (dependendo do tempo de desligamento do sistema versus tempo de vida (lease) do aluguel do endereço IP).

Algumas implementações do software servidor de DHCP permitem ainda a atualização dinâmica dos servidores de DNS para que cada cliente disponha também de um DNS (ou vários). Este mecanismo utiliza o protocolo de atualização do DNS especificado no RFC 2136 (http://tools.ietf.org/html/rfc2136).

Maiores informações e diagramas veja o http://www.rnp.br/newsgen/9911/dhcp.html
netlabor
 

Re: DHCP -so utilizar leases

Mensagempor coidiloco » Qua Jul 15, 2009 4:44 am

Deixa eu meter o dedo... :twisted:

Leandro,
O conhecimento de base eh o que diferencia os tecnicos dos mestres. Acho que esse eh seu lema tambem.

No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!

Se gera trafego no firewall, eh possivel bloquear garantidamente.

Alem de tudo isso acima, saber usar a ferramenta eh muito importante tambem, o que faltou ai foi a leitura do manual do DNSMasq.

Pruda, o que vc quer eh possivel pelo proprio DNSMasq, mas tem furo, o certo eh travar no firewall ou combinar os dois.
Adicione no Arquivo de Reservas DHCP
Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore

e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.

uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).

Juntando tudo dava pra montar um filtro por MAC 100% num addon, fica a sugestao aqui.

Entao "RTFM" & "STFG"...
http://linux.die.net/man/8/dnsmasq

Abrass... < O.O >
coidiloco
 

Re: DHCP -so utilizar leases

Mensagempor daniel.uramg » Qua Jul 15, 2009 8:56 am

pruda escreveu:
daniel.uramg escreveu:alem de fazer a reserva de IP-MAC limite o servidor DHCP somente na quantidade necessaria
por ex. vc tem 10 estaçoes, e seu BFW é: 192.168.0.1
configure o servidor DHCP para atribuir 192.168.0.2 ate 192.168.0.11 (esses IPs vão estar amarrados aos 10 MACs)
e coloque no arquivo de range tambem:

#rede falsa
dhcp-range=false,172.10.200.4,172.10.200.30
dhcp-option=false,3,172.10.200.254
dhcp-option=false,6,208.67.222.222,208.67.220.220

assim os impostores vão ter um IP atribuido, porem estarão fora de sua rede, e não vao conseguir navegar tambem


Muito interessante essa sua ideia, vou dar uma estudada e ai posto os resultados... Pergunta de leigo: Onde adiciono essa range falsa?em dhcp custom configuration??


Exatamente, em "configuração do DHCP e DNS", ações de controle selecione "Editar Configurações Personalizadas"
com certeza esta solução será a mais pratica e funcional pra você!
só não se esqueça de "limitar" o servidor DHCP (Servidor DHCP - Configuração) somente a quantidade necessária, que está amarrada aos MACs!
poste seus resultados!
Avatar do usuário
daniel.uramg
BFW Beneméritos
 
Mensagens: 1426
Registrado em: Qua Mai 20, 2009 4:42 pm
Localização: Taguatinga - DF
BrazilFW Box: Athlon XP 2400+ 1Gb RAM HD 20Gb
BFW 2.31.10+SP1, Squid, DNS Cache, EasyCaptive, MySAR, Apache, SCA, SqStat, EasyBackup. Bandwidth, Pure-FTP

Re: DHCP -so utilizar leases

Mensagempor luapufo » Qua Jul 15, 2009 9:46 am

é isso que estou falando
só não se esqueça de "limitar" o servidor DHCP (Servidor DHCP - Configuração) somente a quantidade necessária, que está amarrada aos MACs!
poste seus resultados!
luapufo
 

Re: DHCP -so utilizar leases

Mensagempor coidiloco » Qua Jul 15, 2009 10:22 am

humm,

e se configurar um micro de fora com IP manual mas que ta reservado pra outro MAC? Navega? Trava?

flws..
coidiloco
 

Re: DHCP -so utilizar leases

Mensagempor daniel.uramg » Qua Jul 15, 2009 10:33 am

Se você tiver amarrado IP ao MAC nas configuraçoes simplificadas do firewall ele não navega de geito nenhum
se nao tiver amarrado, e setar um IP manualmente que esta liberado e não esta em uso pelo "dono" vc consegue sim navegar.

voce pode usar tambem o EasyCaptive com autenticaçao, ai mesmo se nao usar amarraçao IP-MAC, e setar o IP manualmente o usuario so vai conseguir navegar se logar-se com o usuario/senha
Avatar do usuário
daniel.uramg
BFW Beneméritos
 
Mensagens: 1426
Registrado em: Qua Mai 20, 2009 4:42 pm
Localização: Taguatinga - DF
BrazilFW Box: Athlon XP 2400+ 1Gb RAM HD 20Gb
BFW 2.31.10+SP1, Squid, DNS Cache, EasyCaptive, MySAR, Apache, SCA, SqStat, EasyBackup. Bandwidth, Pure-FTP

Re: DHCP -so utilizar leases

Mensagempor pruda » Qua Jul 15, 2009 5:33 pm

Ok... vou testar e depois posto o resultado... valeu pela colaboração de todos!
pruda
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Qui Jul 16, 2009 3:04 pm

coidiloco escreveu:Deixa eu meter o dedo... :twisted:

Leandro,
O conhecimento de base eh o que diferencia os tecnicos dos mestres. Acho que esse eh seu lema tambem.

No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!

Se gera trafego no firewall, eh possivel bloquear garantidamente.

Alem de tudo isso acima, saber usar a ferramenta eh muito importante tambem, o que faltou ai foi a leitura do manual do DNSMasq.

Pruda, o que vc quer eh possivel pelo proprio DNSMasq, mas tem furo, o certo eh travar no firewall ou combinar os dois.
Adicione no Arquivo de Reservas DHCP
Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore

e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.

uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).

Juntando tudo dava pra montar um filtro por MAC 100% num addon, fica a sugestao aqui.

Entao "RTFM" & "STFG"...
http://linux.die.net/man/8/dnsmasq

Abrass... < O.O >



Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos leases de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no lease...Eu vou pedir pra esse meu amigo as regras criadas, porem nosso servidor ficou inacabado pois ele estava configurando ferramenta por ferramenta... ele por exemplo não teve tempo de implantar um load balance... mas essa questao de firewall, dhcp era perfeita...se colocasse um ip não amarrado no firewall não navegava na net, porem tinha acesso à rede, mas para isso teria de se saber o range da rede, complicando um pouco mais para os leigos. Essa idéia do addon muito jóia, mas nem da pra cobrar muito do pessoal porque eles ja estão fazendo até demais. Vou tentar conseguir o script dele... mas o caminho ta mostrado acima. Obrigado
pruda
 

Re: DHCP -so utilizar leases

Mensagempor Marcos do Vale » Qui Jul 16, 2009 9:18 pm

coidiloco escreveu:....
Adicione no Arquivo de Reservas DHCP
Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore

e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.

uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).
...

Isto aí é show de bola pra eliminar o lance de ter q amarrar IP x MAC no Firewall Simplificado.
Eu sempre me perguntei se teríamos uma saída que evitasse o trabalho dobrado.
Está anotado pra sair numa release.
Marcos do Vale
 

Re: DHCP -so utilizar leases

Mensagempor netlabor » Sex Jul 17, 2009 3:03 am

Marcos do Vale escreveu:Isto aí é show de bola pra eliminar o lance de ter q amarrar IP x MAC no Firewall Simplificado.
Eu sempre me perguntei se teríamos uma saída que evitasse o trabalho dobrado.
Está anotado pra sair numa release.

Achei uma ótima saída também!
Aí fica a prova que é só estudar as opções dos recursos já existentes (serviço DHCP, DNSmasq etc) que eles resolvem o problema sem invenção de mais um Addon, daí sobra tempo pra coisas fundamentais como ajudar com o término da versão 3!
Fica aí a dica para que outras pessoas comecem a estudar mais, perguntar melhor e ajudar o projeto ainda mais!

Ahh e tenho uma pergunta pro pruda pra descontrair dancing :
Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...

Que diabo de lease é esse que você tanto fala, ou é RANGE de IP ou é LEASE (tempo de vida que o DHCP tem para enviar um novo IP para a estação)??? Estou confuso... :D

Eu vou pedir pra esse meu amigo as regras criadas, porem nosso servidor ficou inacabado pois ele estava configurando ferramenta por ferramenta... ele por exemplo não teve tempo de implantar um load balance... mas essa questao de firewall, dhcp era perfeita...se colocasse um ip não amarrado no firewall não navegava na net, porem tinha acesso à rede, mas para isso teria de se saber o range da rede,

Aí garoto, RANGE, muito bem :aplause: ! O serviço DHCP é um serviço do protocolo TCP/IP, ou seja, é bem mais eficiente controlar a REDE pelo DHCP e filtrar o TRAFEGO desta rede pelo FIREWALL, então não vamos confundir a aplicação do serviço de DHCP com a aplicação do serviço de Firewall! Use-os conjuntamente e terá o céu < O.O > .

...complicando um pouco mais para os leigos. Essa idéia do addon muito jóia, mas nem da pra cobrar muito do pessoal porque eles ja estão fazendo até demais. Vou tentar conseguir o script dele... mas o caminho ta mostrado acima. Obrigado

Todo script é bem vindo então ficamos no aguardo!


Boa sorte!

Leandro
netlabor
 

Re: DHCP -so utilizar leases

Mensagempor Marcos do Vale » Sex Jul 17, 2009 8:58 am

No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)
Marcos do Vale
 

Re: DHCP -so utilizar leases

Mensagempor manauara » Sex Jul 17, 2009 11:05 am

coidiloco escreveu:Deixa eu meter o dedo... :twisted:

Leandro,
O conhecimento de base eh o que diferencia os tecnicos dos mestres. Acho que esse eh seu lema tambem.

No firewall existe a possibilidade de filtrar que só determinado IP+MAC acesse o gateway, isso não permite a navegação, mas não cria garantidadmente a situação de "conectividade nula ou limitada", pois não é serviço do firewall fazer isso!

Se gera trafego no firewall, eh possivel bloquear garantidamente.

Alem de tudo isso acima, saber usar a ferramenta eh muito importante tambem, o que faltou ai foi a leitura do manual do DNSMasq.

Pruda, o que vc quer eh possivel pelo proprio DNSMasq, mas tem furo, o certo eh travar no firewall ou combinar os dois.
Adicione no Arquivo de Reservas DHCP
Código: Selecionar todos
dhcp-ignore=#known
dhcp-host=*:*:*:*:*:*,ignore

e tudo que nao estiver amarrado por MAC nao recebe IP, soh isso, mas o furo eh que IP manual navega.

uma outra coisa interessante eh que o DNSMasq pode chamar um script externo nos eventos de lease e entao fica mais facil adicionar regras no firewall (iptables).

Juntando tudo dava pra montar um filtro por MAC 100% num addon, fica a sugestao aqui.

Entao "RTFM" & "STFG"...
http://linux.die.net/man/8/dnsmasq

Abrass... < O.O >


Valeu coidiloco, foi um verdadeiro "exame de próstata" para o bem do BFW \`´/ \`´/ \`´/
!+ :o!
manauara
 

Re: DHCP -so utilizar leases

Mensagempor manauara » Sex Jul 17, 2009 11:29 am

Marcos do Vale escreveu:No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)


Só acrescentando
LEASE = Endereço IP atribuído a um endereço MAC com tempo de renovação determinado (pode ou não ser RESERVADO)
:o!
manauara
 

Re: DHCP -so utilizar leases

Mensagempor coidiloco » Sex Jul 17, 2009 12:05 pm

Entao...

Se alguem fizer a alteraçao no DHCP do WebAdmin pra criar o tal bloqueio total por MAC eu faço o script pra ativar as regras no iptables. Quem topa :?:

Off-topic (nao resisti) \`´/ :

Valeu coidiloco, foi um verdadeiro "exame de próstata" para o bem do BFW


Pois eh, eu perguntei, "BFW ta sentindo alguma coisa?!", soh escutei um beeeeeeeeiiiiiip e ele disse: "Sinto que te amuuu!!" \`´/ \`´/ \`´/

velhinha essa mas... :lol:

Abrass...
coidiloco
 

Re: DHCP -so utilizar leases

Mensagempor netlabor » Sáb Jul 18, 2009 12:32 am

coidiloco escreveu:Entao...

Se alguem fizer a alteraçao no DHCP do WebAdmin pra criar o tal bloqueio total por MAC eu faço o script pra ativar as regras no iptables. Quem topa :?:

Off-topic (nao resisti) \`´/ :

Valeu coidiloco, foi um verdadeiro "exame de próstata" para o bem do BFW


Pois eh, eu perguntei, "BFW ta sentindo alguma coisa?!", soh escutei um beeeeeeeeiiiiiip e ele disse: "Sinto que te amuuu!!" \`´/ \`´/ \`´/

velhinha essa mas... :lol:

Abrass...


Aí ele responde.... aumenta o Leaaaaaaaaaaaassssssssssseeeeeee \`´/ \`´/ \`´/ \`´/
netlabor
 

Re: DHCP -so utilizar leases

Mensagempor Marcos do Vale » Sáb Jul 18, 2009 7:37 pm

manauara escreveu:
Marcos do Vale escreveu:No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)


Só acrescentando
LEASE = Endereço IP atribuído a um endereço MAC com tempo de renovação determinado (pode ou não ser RESERVADO)
:o!

O tempo pode ser infinito. :o!
Marcos do Vale
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Sex Jul 24, 2009 12:57 pm

Bom dia..
Como disse que conseguria os scripts na verdade eu tinha um backup feito antes do servidor "morrer" e zipei as pastas dhcp, init.d, firewall, estou disponibilizando para os senhores darem uma olhada... RESSALVA: não sei até que ponto poderão ser uteis esse arquivos ou se realmente são os arquivos necessários para descobrir-se como era feita a config do debian
http://www.fastelecom.com.br/debian.rar

Obs: falei com o Kabeça, ele me disse que tem uma opção no dhcp que somente mac cadastrado podera receber IP, isso no proprio dhcp, indpendente de firewall...ou seja, quem nao estiver com mac cadastrado no DHCP não recebe IP... qualquer um com ip fixo liberado no firewaal pode navegar tranquilamente!
Editado pela última vez por pruda em Qui Jul 30, 2009 4:06 pm, em um total de 1 vez.
pruda
 

Re: DHCP -so utilizar leases

Mensagempor pruda » Sex Jul 24, 2009 1:11 pm

netlabor escreveu:Ahh e tenho uma pergunta pro pruda pra descontrair dancing :
Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...

Que diabo de lease é esse que você tanto fala, ou é RANGE de IP ou é LEASE (tempo de vida que o DHCP tem para enviar um novo IP para a estação)??? Estou confuso... :D

Putz... compliquei a questão....é que queria dizer que todos os clientes estão com reservas no dhcp e " lease infinite"!! ^^
pruda
 

Re: DHCP -so utilizar leases

Mensagempor rodrigoadachi » Seg Ago 24, 2009 4:01 pm

pruda escreveu:
netlabor escreveu:Ahh e tenho uma pergunta pro pruda pra descontrair dancing :
Olha, outra boa solução ai...com relação ao firewall todos meus clientes estão amarrados IPXMac... isso é sagrado! Todos tambem estão nos LEASES de DHCP, mesmo com IPs fixos, com seus respectivos macs, então não acredito que não vai haver navegação pra quem tem ip manual, pois eles tambem estão no LEASE...

Que diabo de lease é esse que você tanto fala, ou é RANGE de IP ou é LEASE (tempo de vida que o DHCP tem para enviar um novo IP para a estação)??? Estou confuso... :D

Putz... compliquei a questão....é que queria dizer que todos os clientes estão com reservas no dhcp e " lease infinite"!! ^^



Dar uma lida des de o inicio do post...

por Marcos do Vale » Sex Jul 17, 2009 8:58 am

No serviço de DHCP:
RANGE = Faixa de endereços que será oferecida aos hosts
LEASE = Endereço IP atribuído a um endereço MAC (pode ou não ser RESERVADO)
skype adachi.rodrigo

"E conhecerão a verdade, e a verdade os libertará". João 8:32

Doe para o BrazilFW e ajude a mante-lo no Ar e Atualizado!
Avatar do usuário
rodrigoadachi
BFW Very Participative
 
Mensagens: 460
Registrado em: Qui Mar 27, 2008 5:15 pm
Localização: Bahia - Brasil
BrazilFW Box:

Re: DHCP -so utilizar leases

Mensagempor pruda » Sex Nov 20, 2009 2:28 am

Bem, mais uma vez peço desculpas porque me expressei mal ao expor o tópico, mas consegui uma solução no BFW3, que agora sim esta com dhcp ativado porem só libera Ip para os macs reservados no sistema, ou seja, no meu BFW 3 cliente que nao tem reserva de ipXmac não recebe IP, os cadastrados recebem normalmente....
pruda
 


Voltar para BrazilFW 2.x - Ajuda em Geral (Todas as Línguas)

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 7 visitantes

cron