BFW Firewall & Router

[Guilherme Pires]

Pessoal, seguinte, sei que o conceito do MACxIP do Bfw é de lista branca (Só navega quem estiver cadastradado lista).
Tem como eu amarrar um Mac pra navegar com tal IP, e tipo, o restante pode conectar na rede tranquilo sem precisar cadastrar MACxIP ?

[brunovescovi]

Boa tarde, pessoal.

Você pode cadastrar o IPxMAC que deseja na tela Webadmin => Configurações => DHCP => Reservas de IP.
Só por estar reservado, o IP correspondente sempre será dado à máquina que tiver o MAC específico. Para permitir que as outras máquinas naveguem sem que estejam nesse arquivos de reserva, basta deixar a amarração MACxIP desligada. Dessa forma o serviço de DHCP vai fornecer IPs variados a todas as máquinas, menos à máquina cadastrada, pois esta sempre receberá o IP que foi reservado.

Para deixar a amarração MACxIP desligada, vá em Webadmin => Configurações => Sistema => Geral, e nessa tela configure Restrição de MAC como "Não".
Se marcar Restrição de MAC como "Sim", só a máquina cadastrada vai navegar.

Um abraço.

[Guilherme Pires]

Bruno, a questão é o seguinte o ip 192.168.0.10 por exemplo não acessa nada, e caso eu deixe reservado o ip 10 para ele receber no dhcp, se o funcionario for lá e colocar outro ip ele vai navegar tranquilamente entendeu ?

A questão é, se tem alguma forma de fazer isso com iptables ou outra solução.

[brunovescovi]

Boa noite, pessoal.

Então você quer que todo mundo navegue, menos uma máquina específica, é isso?
Se for, o comando abaixo pode resolver:

Código: Selecionar todos

iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:00 -j DROP

Se o comando acima não resolver, tente esse:

Código: Selecionar todos

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

Para anular qualquer das regras acima, repita o comando, porém trocando a opção -A por -D.
Altere o 00:00:00:00:00:00 pelo MAC do computador que você quiser bloquear o acesso.

Se o que você quer não for nada disso, por favor, explique novamente porque eu ainda não entendi.

Um abraço.

[eltonbahiabc]

Boa noite, pessoal.

Então você quer que todo mundo navegue, menos uma máquina específica, é isso?
Se for, o comando abaixo pode resolver:

Código: Selecionar todos

iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:00 -j DROP

Se o comando acima não resolver, tente esse:

Código: Selecionar todos

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

Para anular qualquer das regras acima, repita o comando, porém trocando a opção -A por -D.
Altere o 00:00:00:00:00:00 pelo MAC do computador que você quiser bloquear o acesso.

Se o que você quer não for nada disso, por favor, explique novamente porque eu ainda não entendi.

Um abraço.

Verdade a melhor forma é esse que nosso amigo "brunovescovi" dispos assim evita cadastrar varios mac de acesso quanto a bloqueio

[DigiCal]

Olá Guilherme Pires,

Caso queira um controle maior da rede,

1. Cadastre os IPxMAC (Webadmin => Configurações => DHCP => Reservas de IP)
2. Ative a amarração MACxIP (Webadmin => Configurações => Sistema => Geral => Restrição de MAC)
3. Instale o Painel de Controle do DansGuardian e bloquei o IP que desejar.

Além do simples bloqueio do IP o DansGuardian tem várias outras opções.

Boa sorte.

[goodposting]

eu não uso o dansguardian aqui mas ele só funciona junto ao squid. então só vai bloquear a navegação não é?

se o cara quiser entrar no msn messenger, skype, ftp, outlook express, etc ele vai conseguir na boa.

é isso mesmo ou entendi errado ?

[Guilherme Pires]

Olá Guilherme Pires,

Caso queira um controle maior da rede,

1. Cadastre os IPxMAC (Webadmin => Configurações => DHCP => Reservas de IP)
2. Ative a amarração MACxIP (Webadmin => Configurações => Sistema => Geral => Restrição de MAC)
3. Instale o Painel de Controle do DansGuardian e bloquei o IP que desejar.

Além do simples bloqueio do IP o DansGuardian tem várias outras opções.

Boa sorte.

Obrigado pela resposta cara, mas ja estou trabalhando desta maneira pra melhor entender vou explicar a estrutura como esta...
Squid+Dans
IPs na execessao (Liberado Tudo)
192.168.0.200
192.168.0.201
IPs usando blacklist, grupo Administracao
192.168.0.20 - 192.168.0.150
IPs usando whitlist (apenas 2 sites liberados), grupo Caixa
192.168.0.10
192.168.0.11

Eu gostaria de amarrar essass duas maquinas do grupo Caixa MACxIP mas sem a necessidade de ativar a ferramenta MACxIP pelo fato de sempre estar entrando computador na rede e evitando assim o trabalho de sempre ter que cadastrar o macxip

Ficou melhor pra entender ?

[DigiCal]

Olá Guilherme Pires,

Ficou sim, e acredito que a dica do Bruno se encaixa exatamente à sua necessidade. Você já a tentou?

[Guilherme Pires]

Não cheguei a testar a dica do Brunovescovi, mas neste caso como podem ver as maquinas do grupo caixa tem acesso por whitelist (poucos sites aqui), caso eu aplique a regra pararia totalmente a navegacão, a grande questão é, tem como amarrar essas maquinas que não sejam pela ferramenta MACxIP ?
IPTables quem sabe, já testei alguns que vi na net mas não funcionou no bfw.

[brunovescovi]

Boa tarde, pessoal.

Não cheguei a testar a dica do Brunovescovi, mas neste caso como podem ver as maquinas do grupo caixa tem acesso por whitelist (poucos sites aqui), caso eu aplique a regra pararia totalmente a navegacão, a grande questão é, tem como amarrar essas maquinas que não sejam pela ferramenta MACxIP ?
IPTables quem sabe, já testei alguns que vi na net mas não funcionou no bfw.

Cada hora é uma coisa...

Tá difícil sugerir soluções com dados novos surgindo a cada post.

Resumindo: dá para fazer o que você quiser por iptables. Mas você não quer saber se dá para fazer ou não, você quer é um resultado pronto que solucione seu problema. Para isso acontecer, você precisa ser bem específico e detalhista sobre o que você quer, senão qualquer sugestão aqui sempre vai ser insuficiente. E ainda precisa lembrar que o que você precisa não é de um comando ou dois, você precisa de um script de complexidade média para ler arquivos com os IPs separados por acessibilidade para que esse script faça os controles desejados através de vários comandos iptables dados por rotina de loop.

Até que você consiga montar esse script, é indispensável que você vá testando as soluções aqui propostas, senão este tópico perde sua utilidade.


Um abraço.

[Eduardo]

Por tudo que já li esse tópico já esta inconclusivo.
Atender usuários visitantes e ao mesmo tempo impedir que alguém com conhecimento troque o IP para o range liberado é impossível.
Não da pra trancar a porta sem fechar ela primeiro.

[Guilherme Pires]

Boa tarde, pessoal.

Não cheguei a testar a dica do Brunovescovi, mas neste caso como podem ver as maquinas do grupo caixa tem acesso por whitelist (poucos sites aqui), caso eu aplique a regra pararia totalmente a navegacão, a grande questão é, tem como amarrar essas maquinas que não sejam pela ferramenta MACxIP ?
IPTables quem sabe, já testei alguns que vi na net mas não funcionou no bfw.

Cada hora é uma coisa...

Tá difícil sugerir soluções com dados novos surgindo a cada post.

Resumindo: dá para fazer o que você quiser por iptables. Mas você não quer saber se dá para fazer ou não, você quer é um resultado pronto que solucione seu problema. Para isso acontecer, você precisa ser bem específico e detalhista sobre o que você quer, senão qualquer sugestão aqui sempre vai ser insuficiente. E ainda precisa lembrar que o que você precisa não é de um comando ou dois, você precisa de um script de complexidade média para ler arquivos com os IPs separados por acessibilidade para que esse script faça os controles desejados através de vários comandos iptables dados por rotina de loop.

Até que você consiga montar esse script, é indispensável que você vá testando as soluções aqui propostas, senão este tópico perde sua utilidade.


Um abraço.

Cara não é que cada hora eu quero uma coisa, acho que o que aconteceu é que não deu pra interpretar ao certo o que eu estava querendo dizer, então peço desculpas por não já ter explicado antes o esboço da rede pra melhor entendimento. Creio que agora não há duvidas do que se trata o topico.
Quero amarrar o mac de algumas maquinas e deixar o restante livre, onde o cliente apenas irá conectar o cabo e navegar.

Por tudo que já li esse tópico já esta inconclusivo.
Atender usuários visitantes e ao mesmo tempo impedir que alguém com conhecimento troque o IP para o range liberado é impossível.
Não da pra trancar a porta sem fechar ela primeiro.

Vlw Eduardo, era o que eu precisava saber, se tinha como ou não fazer da maneira como havia explicado.

[goodposting]

Cara não é que cada hora eu quero uma coisa, acho que o que aconteceu é que não deu pra interpretar ao certo o que eu estava querendo dizer, então peço desculpas por não já ter explicado antes o esboço da rede pra melhor entendimento. Creio que agora não há duvidas do que se trata o topico.
Quero amarrar o mac de algumas maquinas e deixar o restante livre, onde o cliente apenas irá conectar o cabo e navegar.

faça então o q bruno falou no inicio. faça a reserva dos IP´s com os mac´s sem usar a opção de controle de mac x ip , presente no arquivo mestre. deixe off.

[TicoDePano]

o 2 post me tirou algumas dúvidas aqui, mas...

seria possível o bfw apenas liberar acesso externo para clientes com ip alocado dinamicamente pelo dhcp do próprio bfw?

[Eduardo]

o 2 post me tirou algumas dúvidas aqui, mas...

seria possível o bfw apenas liberar acesso externo para clientes com ip alocado dinamicamente pelo dhcp do próprio bfw?

Sim, basta configurar o dansguardian para lista negra e por os ips do range de DHCP nas exceções.