DHCP e bloqueios

fggs
(usa Debian)

Enviado em 10/03/2009 - 10:46h

Bom dia pessoal,

Sou novo aqui no fórum e após pesquisar de diversas formas não encontrei de forma satisfatória a solução que procuro. Eu gostaria de fixar IPs por MAC (para isso tem bastante literatura e nisso eu me viro), impedir que ips fora do range definido no DHCP naveguem e impedir que o MAC que usa IP com final .3 use final .5, por exemplo. Ficou claro? É dificil?

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 14:27h

Para fixar os IP's por MAC, o próprio roteador faz isso. Vc deve verificar isso nas configs dele (não sei qual é o seu modelo). Para impedir q os ip fora da faixa do DHCP se conectem, o roteador tb faz isso. Tenho um Dlink 500G q possui todas essas funções tranquilamente. Eu não tentei mudar esses IP's manualmente pra v se o roteador aceita, mas se não aceitar, provavelmente ele tb não aceitará um certo MAC .3 conectar no .5, por exemplo...

fggs
(usa Debian)

Enviado em 10/03/2009 - 15:25h

Então, eu estou fazendo o roteador via Linux num computador e estou com essas dúvidas. Se eu fixar por MAC e usar o "deny unknown-clients;", ele não aceitaria ips fora do range ou estou enganado? Outra pergunta: Um ip fixado por MAC, se for setado manualmente num pc de MAC diferente, vai navegar?

Obrigado pela ajuda.

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 15:41h

Ah, tá... c tá fazendo via servidor. Então, com relação aos bloqueios, vc pode fazer com o squid. Com relação ao DHCP, vc pode fazer através do dhcpd, com esse artigo:

http://www.vivaolinux.com.br/artigo/Servidor-DHCP-rapido-e-facil-para-Conectiva-Linux/

Para compartilhar a net, vc deveria fazer uma união entre o iptables+squid, mas isso é um assunto muito extenso. O VOL possui inúmeros artigos sobre isso. Qq coisa grite ae!

fggs
(usa Debian)

Enviado em 10/03/2009 - 16:30h

A idéia é usar Squid mesmo, mas antes queria impedir a pessoa de "fugir" do ip que eu atribuir, não quero que o ip fora da faixa determinada navegue e nem que maquina X use o ip da maquina Y quando a Y estiver desligada, entendeu mais ou menos? É sobre isso que não encontrei muita coisa para ler. Mesmo porque vão ser duas classes, uma com tudo liberado e outra com alguns bloqueios, se o cara põe o ip da classe liberada manualmente, ele fica sem bloqueio e isso eu não quero, por isso quero amarrar o ip ao mac, fazendo o linux checar se o ip ta no mac correto, caso não esteja, não navega. Não sei se o iptables tem algo assim, enfim.. aguardo maiores informações

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 16:39h

O squid nesse quesito é bem eficiente. Basta vc estipular a faixa d IP q deseja e liberar, o resto vc bloqueia, sacou? Outra coisa é com relação ao dhcpcd. Vc pode tanto fazer um DHCP fixo (end. MAC sempre pra um IP) quanto delimitar o número d endereços MAC q podem se conectar.

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 16:43h

Esqueci d um detalhe: o iptables pode fazer filtros (firewall) para uma faixa d ip, servidor NAT (q não é o seu caso), redirecionamento d porta... e assim vai. Vai depender da sua implementação.

fggs
(usa Debian)

Enviado em 10/03/2009 - 16:47h

Como eu faria para, por exemplo: O ip 10.10.0.15 que está amarrado ao MAC AA:BB:CC:DD:EE não funcione caso alguem o coloque manualmente numa placa de rede com MAC FF:GG:HH:II:JJ? Porque dai, se a faixa for 10.10.0.1 ao 10.10.0.20, se ele colocar manualmente 10.10.0.21 não vai navegar e se ele colocar 10.10.0.3 e não for o ip correspondente ao MAC dele também não vai navegar, é isso que eu gostaria. Só não sei se isso funcionaria caso ele vá para a classe liberada.

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 17:09h

É o seguinte: para bloquear IP's, vc pode fazer pelo iptables (mais seguro), pois por squid ele impede apenas q o IP acesse o proxy, não a máquina. Depois disso, a ligação entre o MAC e o IP seria feito com o dhcpd. Eu só não sei dizer se ele faz essa "amarração" com o IP, mas acredito q funcionaria, exemplo:

- No dhcpd, coloque no .conf dele os MAC's q podem acessar a máquina;
- O dhcpd designou q o IP 10.10.0.21 é do MAC AA:BB:CC:DD:EE:FF;
- Caso algum engraçadim tente mudar seu IP manualmente para 10.10.0.21, não conseguirá navegar (tb os IP's fora da faixa não serão possíveis).

Apenas estou falando por alto. É claro q esses aplicativos devem ter mais recursos, ae basta estudar mais, ler os tutos e tals...

fggs
(usa Debian)

Enviado em 10/03/2009 - 17:16h

Ai é que está, eu não consigo achar tutoriais, textos mais complexos, só acho a configuração "básica" do dhcpd. Eu achei um texto de 2002 mas ainda envolvia ipchains e arp, acho que hoje isso ta muito mais evoluido e facil de fazer, só se eu não to sabendo procurar mesmo.

Obrigado pela ajuda, vamos ver se mais alguem comenta alguma coisa, acho que a minha idéia é um pouco interessante, sei lá..

pelo
(usa Debian)

Enviado em 10/03/2009 - 18:21h

Meu caro,

De uma olhada no meu dhcpd.conf em
http://www.vivaolinux.com.br/etc/dhcpd.conf-1
Agora quanto aos bloqueios, você terá que fazer por firewall e squid.

Sérgio Abrantes
[]'s

renato_pacheco
(usa Debian)

Enviado em 10/03/2009 - 22:24h

Pronto! Achou um fi d Deus ae... Valew, Sérgio!