BFW Firewall & Router

[gamba47]

Estoy empezando a usar BrazilFW 3.0 y en poco tiempo espero tenerlo en producción, me retrasó el hecho de la caida del hosting pero estamos de nuevo jugando, voy a rescribir mis dos preguntas ya que se perdieron.

Una de mis dudas hoy por hoy es si es posible hacer control por mac e ip a algunos clientes y a otros no, el motivo de esto es que yo estoy acostumbrado a tener 2 IPs que estan libres para poder hacer pruebas y las tengo sin importar la MAC del cliente, además, tengo otro cliente que cambia su pc seguido y no le puedo fijar una mac determinada.

Es posible esto ? hay forma de evitar esto?


Saludos. gamba47

[MirageIII]

che .. estoy tratando de hacer lo q quieres .. pero por el momento .. no e podido q pc sin registrar en el firewall anden cuando esta activo.

sigo... el sabado .. llevo sin dormir 3 dias.
y ya la cama me extraña-

[El guapo Dan]

Gamba47 si aún etas interesado en este tema me gustaria que probaras este mod..

Edita el archivo "/etc/rc.d/rc.macip"

Código: Selecionar todos

edit /etc/rc.d/rc.macip

En este archivo la parte que nos interesa es:

Código: Selecionar todos

readconfig /etc/brazilfw/reserve.cfg | while read IP MAC; do
            iptables -t nat -A MAC -m mac --mac-source $MAC -s $IP -j RETURN >/dev/null 2>&1
    done


Modifica esa parte del script para que quede así:

Código: Selecionar todos

readconfig /etc/brazilfw/reserve.cfg | while read IP MAC; do
        if [ -z $MAC ]; then
            iptables -t nat -A MAC -s $IP -j RETURN >/dev/null 2>&1
        else
            iptables -t nat -A MAC -m mac --mac-source $MAC -s $IP -j RETURN >/dev/null 2>&1
        fi
    done


Luego en el archivo "/etc/brazilfw/reserve.cfg"

Código: Selecionar todos

edit /etc/brazilfw/reserve.cfg

Agregas las IP que deseas que sean permitidas sin amarrarlas con alguna MAC:

Código: Selecionar todos

192.168.0.11
192.168.0.102 xx:xx:xx:xx:xx:xx
192.168.0.103
192.168.0.104 xx:xx:xx:xx:xx:xx
192.168.0.105 xx:xx:xx:xx:xx:xx


luego ejecutas el comando "/etc/rc.d/rc.macip" para reiniciar el amarrado...

Si usas el mod o si alguien lo usa por favor postee resultados.

[BlackByte]

Holas
probe el mod y funciona de lujo
gracias Dan
Saludos

PD : De esa forma funciona como la lista blanca de la 2.x que es como yo lo uso

[gamba47]

Dani, fijate de pasarle eso a Woshman, no lo probe pero el comentario de Blackbyte dice que funciona!

gamba47

[MirageIII]

Confirmado anda .. Recien lo pruebo en la escuela (se comporta idem a lista blanca de v2.x)

[El guapo Dan]

Si usan QOS, deben definir las IP tambien en el QOS...

Saludos.

[Yolhman]

Gamba y Mirage, les cuento que tengo tres Nat en 3.0.213 y el LB tambien en la misma version y me funciona excelente, el squid trabaja muy bien. Tengo montado el redirector y el watchdog ip en los nat. Hasta lo momentos funciona muy bien la version 3.0.213..

Saludos

[Yolhman]

Buen Dia, Amigos del Foro..

Guapo Dan, tengo una duda con el Script que nos has proporcionado...

Es la siguiente: Si dejo algunas ip sin la mac, es posible que algun intruso se coloque esa ip y navegue..
Si es asi es un riezgo colocar de esa manera las reservas..

Saludos espero tu pronta aclaracion al tema.

[El guapo Dan]

Es la siguiente: Si dejo algunas ip sin la mac, es posible que algun intruso se coloque esa ip y navegue..
Si es asi es un riezgo colocar de esa manera las reservas..

Hola.

Por supuesto que puede, y claro que es un riesgo...

Ese tipo de configuraciones son solo para personas que saben exactamente lo que hacen y el riesgo que llevan...

Saludos.

[Yolhman]

hace falta lo que tenia el firewall de las versiones anteriores Liste las direcciones MAC que desea permitir. Ejemplo:
00:0a:02:0b:03:0c
01:0d:03:0d:00:0f

y por lo general se colocaba las mac de los ap ya que lo mismo se le colocaba fija la ip...

Ahora asi como esta el Script si uno en vez de colocar la ip coloca es la mac sola, ¿funcionaria?

Necesito amarrar pero tambien permitir que los ap de los clientes puedan navegar y tener seguridad, y que el cliente no pueda conectar mas equipos que los contratados previamente..

Saludos

[El guapo Dan]

No, así como está no funcionaría pero esto tal vez funcione:

Modificas la parte que nos interesa del script para que quede así:

Código: Selecionar todos

readconfig /etc/brazilfw/reserve.cfg | while read IP MAC; do
        if [ -z $MAC ]; then
            iptables -t nat -A MAC -m mac --mac-source $IP -j RETURN
        else
            iptables -t nat -A MAC -m mac --mac-source $MAC -s $IP -j RETURN >/dev/null 2>&1
        fi
    done


Y en la lista de reservas agregas la mac que deseas permitir sin IP...

No se pueden usar los dos metodos al mismo tiempo, necesita ser modificado de una manera un poco mas extensa para que funcione

Si pruebas el mod de permitir MACs postea los resultados.

Saludos.
Daniel.

[Yolhman]

Ok. en este momento estoy probando el primero que es por IP, lo uso para mis clientes que se conectan a traves de un access Point, le dejo solo la ip sin la mac. Pero analizando la situacion puedo deducir, que si al apagar los equipos o al caerse el servicio electrico, y al encenderse nuevamente, que ip tomaran los ap si no hay manera de relacionarlas con una mac en especifico, creo que alli va a estar el problema. Lo otro que he notado es que con el amarre ip mac los dispositivos que no esten en las reservas no toman ninguna ip, es decir, antes tomaban una ip que se la entregaba el DHCP en el rango que estuviese, pero ahora no toma ip del DHCP.

Al tener la situacion planteada probare con el modulo de las mac haber que tal resulta...

Gracias Dan.

[Javi76]

Hola! En mi caso estoy buscando algo parecido, pero no he podido encontrar en BrFw 3.0.xxx. Con las modificaciones de script que nos pasás podemos habilitar IP o MAC indidualmente o IP+MAC. Lo que yo hago con Brazil 2.31.10 es asignar una IP con una MAC en las reservas DHCP y en Firewall esa misma IP asignarle otra MAC porque está detrás de un AP que la enmascara.
No logro todavía separar los tantos. Si encuentro algo aviso, pero si alguien lo tiene, bienvenido será.
Que tengan un excelente 2010!!!!

Javier