Amarração de IP x MAC (Com iptables, não o ARP) [RESOLVIDO]

rpsimoes
(usa Debian)

Enviado em 14/10/2011 - 10:28h

Pessoal,


Acabo de montar um servidor Linux Squeeze seguindo os passos de um outro artigo do Fernando Cesar Vaini:
http://www.vivaolinux.com.br/artigo/Servidor-de-internet-para-iniciantes-%28Debian-Squeeze%29

Ficou muito bom, mas preciso implementar a amarração de IP x MAC (e quero usar o iptables, não o ARP)
Achei então a seguinte sugestão:

iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source ! XX:XX:XX:XX:XX:XX -j DROP

Incluí a linha acima no arquivo: /etc/init.d/firewall
O arquivo que era assim:
#!/bin/sh
modprobe iptable_nat
iptables -F
iptables -t nat -F
iptables -X
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


Ficou assim:
#!/bin/sh
modprobe iptable_nat
iptables -F
iptables -t nat -F
iptables -X

#Abaixo a linha acrescentada, para amarrar IP x MAC
iptables -A FORWARD -s 192.168.0.107 -m mac --mac-source ! 80:EE:73:0C:FE:CA -j DROP

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Mas não deu certo. Alguém pode me dar um help aí???

Desde já agradeço.

rpsimoes
(usa Debian)

Enviado em 14/10/2011 - 16:39h

Oi N4T4N,

Testei a sua dica mas mesmo assim não deu certo, fiz os seguintes testes:
1. Retirei a exclamação e testei.
2. Substituí o DROP pelo ACCEPT (Sem a exclamação, é claro) e testei.

Em ambos os testes excetutei reiniciei o firewall: /etc/init.d/firewall
E também renovei o IP da máquina Windows cliente:
ipconfig /release
ipconfig /renew

Mas não deu certo mesmo amigo. Vc tem mais alguma dica que pode me passar? Tô precisando muito desta implementação!!

Obrigado.

n4t4n
(usa Arch Linux)

Enviado em 14/10/2011 - 17:08h

Lembrando que a chain FORWARD é aplicada para pacotes que atravessam o firewall e para minimizar as chances de erro, vamos aplicar a regra com a chain INPUT que deverá ter a política DROP.

iptables -P INPUT DROP

iptables -A INPUT -s 192.168.0.107 -m mac --mac-source 80:EE:73:0C:FE:CA -j ACCEPT 

Agora, na máquina 192.168.0.107 tente pingar para o servidor

Veja que é para ele aceitar somente as conexões vindas desse endereço ip e que tenha esse endereço mac, qualquer outra conexão (com destino ao servidor) será bloqueada.

rpsimoes
(usa Debian)

Enviado em 24/10/2011 - 18:08h

N4T4N,

Segui a sua dica (Link que vc informouu) e deu certo!

Vlw cara. Obrigado.

dennis.leandro
(usa Debian)

Enviado em 24/10/2011 - 18:09h

Quando for assim, marque a resposta que te ajudou como melhor resposta...assim quem te ajudou ganha 500 pontos, e acaba ajudando mais a comunidade!

Abraçoo

rpsimoes
(usa Debian)

Enviado em 25/10/2011 - 09:34h

Marquei a melhor resposta. 500 pontos pro N4t4N!!!