Excluir unknow host no iptables

insabralde
(usa Debian)

Enviado em 09/08/2007 - 08:47h

Olá pessoal, mais uma vez venho pedir um auxílio a voces... É o seguinte, uso um server aki que é responsável pelo DHCP, de vez em quando aparece alguém com laptop e fica tentando espetar ele na rede pra navegar. Resultado, conflito de IPs. A pergunta é o seguinte: Existe uma forma de evitar esses conflitos por meio do IPTABLES ou do próprio DHCP?

Agradeço a colaboração...

Viva o Linux!

elgio
(usa OpenSuSE)

Enviado em 21/08/2007 - 10:46h

Eu uso ARP estático!
Os ips entregues pelo DHCP são amarrados estaticamente ao número MAC de quem solicitou (tenho um script que faz isto). Ai se o cara usa um IP que não ganhou por DHCP, fica sem gateway.

Mas isto não resolve problemas na rede!
Tipo, a máquina que tem o mesmo ip do cara pode ficar sem conseguir rede local (mas falando com o gateway e com a Internet).

m4tri_x
(usa Ubuntu)

Enviado em 21/08/2007 - 10:53h

acredito que seja inviavel, mais você pode configurar uma autenticação por pppoe onde cada login é amarrado a um ip e por sua vez amarrado a um mac tb.
se houver solução mais pratica eu desconheço.

[]´s

juno
(usa Linux Mint)

Enviado em 21/08/2007 - 12:38h

Cara
O ideal é você ter sua rede 100% controlada, sei que é difícil, mas podes criar o dhcp com limite de IPs.
Por exemplo se tens 100 micros na rede o dhcp vai distribuir apenas os 100 IPs e o lease time deles você seta para pelo menos um dia.


Espero ter lhe ajudado !

elgio
(usa OpenSuSE)

Enviado em 21/08/2007 - 12:44h

Oi juno.

Pelo que entendi do problema (posso estar errado) é o fato de um espertinho setar MANUALMENTE seu IP sem pedir ao DHCP, podendo, desta forma, causar um conflito de IP.

Certo?
Se sim, isto é deveras complicado e tu só resolve mesmo se criar uma rede só para os visitantes.

juno
(usa Linux Mint)

Enviado em 21/08/2007 - 13:13h

Humm ...
Verdade elgio ...
Camarada
Sua solução é criar um dhcp para visitantes, e já que tens que fazer cria uma classe diferente da sua rede interna como medida de segurança.

Falou!

dupotter
(usa )

Enviado em 21/08/2007 - 13:36h

a dúvida do colega é a mesma que tenho, então vou dizer a vcs o que eu pensei, só não sei como implementar e se dará certo.

amarrando o mac-address com o ip lá no dhcpd.conf já resolve o problema de controle de rede, pois saberemos exatamente qual mac tem qual ip. até ai certo né?

então, prosseguindo, ai vem o negócio, se alguém de fora tentar navegar na marra, dá conflito de ips, então eu pensei, e se eu espetar outra placa de rede no servidor, criar outra rede, com uma subnet lá no dhcpd.conf e ir nas regras de firewall e fazer um controle para aceitar conexões apenas de determinados mac-address (não sei se me entenderam, mas não posso fazer essa regra por IP pois a máquina que vai conectar no server vai pegar o IP ainda no dhcpd, então tem q ser por mac-address), tem jeito?

juno
(usa Linux Mint)

Enviado em 21/08/2007 - 13:50h

dupotter

No caso você vai estar criando um outro barramnento de rede, Eu particulamente não gosto dessa solução pois agrega alguns itens a mais para nos preocupar quando for necessária uma manutenção/configuração deles.

Falou!

dupotter
(usa )

Enviado em 21/08/2007 - 14:04h

juno

o que vc sugere?
essa situação é meio complicada né, tipo, sempre tem um jeito do usuário atrapalhar nossas vidas.

elgio
(usa OpenSuSE)

Enviado em 21/08/2007 - 14:11h

A idéia é exatamente esta. Uma outra rede para os visitantes. E se o teu switch "fala" o protocolo 802.1q tu NEM PRECISA espetar outra placa de rede: podes ter quantas redes quiser em uma única placa.

Mas existem, como já mencionado, complicaçoes!
Tu vai ter que, por exemplo, reservar pontos de redes para visitantes, pois eles estarão na rede que tu quer e não poderá permitir, por exemplo, que alguém ligue o notebook, por exemplo, em um ponto que não seja o que tu definiu! Complicado!

E a divisão teria que ser física mesmo. Qualquer outra, lógica por exemplo, sempre pode ser burlada.

Mas enfim. Voltado a "solução" que eu implemento em uma universidade que administro:

- conheço os macs de todas as máquinas FIXAS, que são patrimônio da Universidade.

- Meu gateway tem ARP estático para estas, por exemplo:
arp -s 10.1.5.6 20:30:40:50:60:70

Extraio os macs a partir de logs do DHCP.

Se um esperto usar na MAO o ip 10.1.5.6 ele fica sem Internet, pois o gateway vai SEMPRE assossiar este IP ao MAC 20:30:40:50:60:70. Se ele pede IP por DHCP, como mandam as regras, vai receber um IP unico e vai funcionar.

dupotter
(usa )

Enviado em 21/08/2007 - 14:15h

elgio, interessante sua solução, tava pensando, eu vou colocar um access point para acesso wireless para os notebooks, essa solução do ARP funcionaria para mim então... bom, mas nunca utilizei esta solução, teria que pesquisar.

elgio
(usa OpenSuSE)

Enviado em 21/08/2007 - 14:24h

Cara, o que eu faço é uma baita sacanagem com os usuários!

1) tenho, obviamente, os MACs muito bem conhecidos, que não mudam (laboratorios de alunos). Eles já estão no DHCP com MAC preso ao IP. Tenho um script que le o dhcp.conf e gera o /etc/ethers

10.1.4.3 20:30:40:50:60:70
10.1.4.4 20:30:40:50:60:80
...

No meu caso o 4 do IP significa laboratorio 4.
Só que o lab não gasta todos os ips, tipo, o 10.1.4.20 não está usado. Então, para derrubar o espertinho:

10.1.4.20 00:00:00:00:00:01

Se alguem puser este IP, o arp estático vai amarra-lo a um MAC falso, inexistente. Sem comunicação!

Só os IPS livres podem ser usados, no caso, 10.1.30.X que o DHCP entrega. Pos na mão, dançou!

Depois eu só faço um

arp -f

(isto faz ele ler o /etc/ethers e "estatizar" ela)

Funciona MUITO BEM.

Claro, claro, claro. Um usuário muito esperto consegue ainda assim burlar. Mas convenhamos, as palavras "usuário" e "esperto" jamais coexistem na mesma pessoa ;-)