[FUGSPBR] Tabela arp sendo alterada por cliente.
Alfredo Tomio Junior
atomio em sodisa.com.br
Sex Nov 29 17:12:09 BRST 2002
Resolvi o problema com dois niveis de segurança:
1 -Associo o MAC address ao IP via dhcp, e fixo a tabela,
vinculando o IP ao MAC address, o que não tem se mostrado
seguro :(
2 - Coloco regras de 'skipto' no IPFW, mais ou menos assim:
00001 allow ip from any to any via lo0
00009 skipto 100 ip from 192.168.0.10 to any in recv rl2
00010 skipto 100 ip from 192.168.0.11 to any in recv rl2
00011 skipto 100 ip from 192.168.0.12 to any in recv rl2
.....
00017 skipto 100 ip from 192.168.0.20 to any in recv rl2
00018 skipto 100 ip from 192.168.0.23 to any in recv rl2
00050 deny ip from 192.168.0.0/24 to any in recv rl2
00100 divert 8668 ip from any to any via rl0
00200 allow ip from any to any
65535 deny ip from any to any
Quando o IP do cliente é comparado com a regra, ela faz ele dar um 'pulo' na
regra 'deny'
e assim quem nao estiver registrado nao passa.
valeu.
Alfredo Tomio Junior
----- Original Message -----
From: "Rogerio Heringer" <rogerio em aeronet.com.br>
To: <fugspbr em fugspbr.org>
Sent: Friday, November 29, 2002 3:01 PM
Subject: Re: [FUGSPBR] Tabela arp sendo alterada por cliente.
> Alfredo Tomio ,
> Estou com o mesmo problema aqui...
> eu uso arp -f /etc/macs.txt
> e acontece a mesma coisa, o ip esta associado ao mac porem em alguns
> clientes hora libera hora fixa o mac
>
> nao achei explicacao.
> isso ocorre num openbsd3.2 , e estou precisando de algo mais descente para
> associar ip ao mac, o brconfig me parece uma boa, porem nao o endedi
> direito...
> []'s
>
> Rogerio Heringer
>
>
>
> ----- Original Message -----
> From: "Marcelo B." <max_tor em baydenet.com.br>
> To: <fugspbr em fugspbr.org>
> Sent: Friday, November 29, 2002 10:20 AM
> Subject: Re: [FUGSPBR] Tabela arp sendo alterada por cliente.
>
>
> > Sr. Alfredo Tomio.
> > ja tentou usar ipfw2 ou ethfw ?
> > com certeza vai ser melhor que o arp.
> >
> >
> > On Thu, 28 Nov 2002, Alfredo Tomio Junior wrote:
> >
> > > Pessoal,
> > >
> > > Para ter controle de acesso a Internet, em edificios condominiais
possuo
> uma
> > > entrada no /etc/dhcpdb.pool distribuindo o IP para um MAC address
> > > especifico.
> > > E tenho um script que fixa a dupla IPxMAC da LAN, ele roda o comando
> arp -s
> > > numeroip endereçomac para todos os IPs da rede interna, do 1 ao 254.
> > > Sendo que cada predio esta com aproximadamente 15 clientes. A tabela,
> tem na
> > > sua maioria, entradas assim: arp -s 192.168.1.1 aa:aa:aa:aa:aa:aa
> > >
> > > No entanto percebi uma entrada assim:
> > >
> > > ? (192.168.0.3) at 00:e0:98:95:9d:7a on rl0 [ethernet]
> > >
> > > e não como era pra estar, assim:
> > >
> > > ? (192.168.0.3) at aa:aa:aa:aa:aa:aa on rl1 permanent [ethernet]
> > >
> > > Como o cliente conseguiu mudar uma tabela previamente fixada ??
> > > Esse sistema é falho ?
> > >
> > > Alguem usa esse sistema ?
> > >
> > >
> > > Alfredo Tomio Junior
> > >
> > >
> > >
> > >
> > > _______________________________________________________________
> > > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > >
> >
> > _______________________________________________________________
> > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd