configurar DHCP+SQUI+MAC+ip fijos

Forums: 

:)
Hola amigos...:
Aqui con otra problemilla....les comento que estoy administrando un servido debian 4.. en cual manejo muchos servicios..uno de los cuales es brindar internet a mis clientes que funciona muy bien...pero mis clientes se cambian ip... ... dandome dolores de cabeza...
la solucion que estoy probando es desde el DHCP darles a mis clientes un ip unico basando me en su MAC que ya esta funcionando muy bien...el problema es que algunos clientes siguen cambiandose el ip....

Mi problema es..lei que desde el squid (mi proxy).. puedo decirle que ip tienen acceso a internet...pero ahora me interesa bastabte hacr eso con el squid pero combiando ip + MAC y asi el cliente que se cambie el ip... no ingresa a internet....
Ayudenme ...no pude encontrar un ejemplo de eso en la red que "combien ip y mac en squid"....si alguien lo tiene por fa..guienme en mi problemilla...

gracias

Te doy un hilo en iptables

Imagen de falcom

Te doy un hilo en iptables puedes colocar las lineas q desees de acuerdo a la ip + la mac
ejemplo:
ip neig replace 192.168.0.1 lladdr 00:19:D1:E1:AA:BB dev eth0 nud perm
ip neig replace 192.168.0.2 lladdr 00:50:8B:C2:DD:CC dev eth0 nud perm

cON Eso controlas que tus clientes naveguen con la respectiva ip+mac oviamente debes configurar tu squid tambien para asignar los rangos de ips y demas malavares...
Salu2

Buena tu sugerencia, pero no

Imagen de acl

Buena tu sugerencia, pero no es iptables. Lo que estás haciendo es modificar tu tabla de ARP para que se asocie cada ip con una MAC. Solo esa pequeña aclaración.

Pero buena sugerencia...
--
haber != a ver
ha != a

STFW Te toca crear una acl

Imagen de acl

STFW

Te toca crear una acl para cada posible ip/mac y luego autorizar a cada par:


acl macfulano arp xx:xx:xx:xx:xx:xx
acl maczutano arp yy:yy:yy:yy:yy:yy
...
acl ipfulano src 1.2.3.4
acl ipzutano src 2.3.4.5
...

http_access allow macfulano ipfulano
http_access allow maczutano ipzutano

Pero hay un problema: el cliente tiene que estar en la misma subred que el squid para que se pueda ver su MAC. Y tampoco creo que funcione si usas en modo transparente.

--
haber != a ver
ha != a

Hola

haz una cosa bien sencilla para poder solucionar tu problema niega el acceso a internet a toda tu red local y crea una lista con ip que pueden acceder a internet y si el cliente se cambia de ip este ya no podra acceder a internet, ahora si deseas dar acceso por mac hay una version de squid que trabaja con mac y tambien puedes hacer una lista de las mac de los clientes de la misma manera que la lista de ip, en la empresa donde trabajo tengo una configuracion muy similar y funciona de las mil maravillas

acl red_local src 192.168.1.0/255.255.255.0
acl permitidos_mac arp "/etc/squid/permitidos_mac"
acl permitidos src "/etc/squid/permitidos"

contenido de "/etc/squid/permitidos"

192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40

contenido de "/etc/squid/permitidos_mac"

xx:xx:xx:xx:xx #192.168.1.2
xx:xx:xx:xx:xx #192.168.1.3
xx:xx:xx:xx:xx #192.168.1.15

http_access deny red_local
http_access allow permitidos
http_access allow permitidos_mac

El problema es que esto no

Imagen de acl

El problema es que esto no asocia cada ip con su mac y si un cliente cambia su ip a una de las permitidas, igual va a pasar. La línea de access debe incluir tanto el MAC como el IP autorizado.
--
haber != a ver
ha != a

La soluciòn a tu problema

Imagen de damage

La soluciòn a tu problema te la dio falcom, debes usar el ip neigh para que evites ese inconveniente, es muy buena alternativa, es màs yo la uso y nunca he tenido ninguna dificultad, si un cliente se cambia "sabidamente" de IP, simplemente deja de tener conectividad y listo, forzosamente debe poner si IP asignada y nunca màs tratarà de cambiarla.
Debes hacer un script de ip niegh, aca en el foro ya se lo posteo., pero con todo ahi te va:

#!/bin/sh

OK="\033[1;0m [ \033[00;32mOK \033[1;0m]\033[0m"
echo "Iniciando Control de Acceso Mac Address & IP......."

# Variables
IPN="/sbin/ip"
WANDEV="eth0"
LANDEV="eth1"

# FLUSH
$IPN flush dev $LANDEV nud perm

echo "Flush Aplicado .........."

### ------------------------- LISTA CONTROL DE RED ----------------------- ###
$IPN replace 172.100.1.10 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
$IPN replace 172.100.1.11 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
$IPN replace 172.100.1.12 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm

Lo unico que debes es colocar, la IP correspondiente y su respectivo MAC.
OJO debes declarar toda la red en el script y las IP's que no esten asignadas las dejas con una MAC fictisia como la del ejemplo osea 00:00:00:00:00:00, si no haces esto no te servira de mucho el script.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

Es correcto el control es

Imagen de falcom

Es correcto el control es mucho mas facil asi, eso si declarando toda la red para q te funcione de pelos! una aclaracion es que como vez en la ultima linea "nud perm" tambien la puedes negar!
Haber si te ayude en algo!

A proposito de esto les

Imagen de falcom

A proposito de esto les comento q un usuario de mi red local se trajo un programilla en windoze (x q aca yo les bloquee toda descarga jeje q malo) que cambia las mac entonces alli viene el relajo! que les parece a mi parecer la solucion de poner una mac ficticia y declarar la ip puede ser la solucion! si alguien tiene algun comentario!

que experiencias aquellas

Imagen de DarkSoul

si bueno yo igual sufria un mundo con eso de las mac.. en fin despues de compilar el squid para q maneje las mac address me fue muuucho mejor, imaginen que tal q eran los compañeros los q me juband feo con los ip's y le iban enseñando a los usuarios, lo malo es q se cogían la ip del gerente y asi... luego la culpa es de uno

en fin yo acabe solucionando asi con el squid, y es cierto, deben estar en la misma subred (sospecho que lo estan), si estan transparentando o sea hacen nat directo cuando le haces el redireccionamiento hacia el puerto de squid no hay problema igual le valida me parece... y lo que si me toco ('nos' toco ) es restringir l instalacion de programas, es mas se les ocurrio crear un active directory y restringir a los usuarios sobre todo para la instalación de programas y cambio de configuraciones, eso ayudo bastante.

Y es q ni siquiera necesitas un programa para cambiar la mac a tu sistema, yo lo hice pa mi casa (cablemodem jeje) asi tengo internet en las dos compus ;)

q mas pueden comentar ...

estas experiencias son del supermercado santamaria.... por dios q experiencias.... q recuerdos.... jeje

Y que pasa si ....

Un interesante problema, y vaya que soluciones, principalmente control por MAC Address, pero que pasa si un cliente utiliza un programa para clonar la MAC y ponerle una ip en la que tenga más privilegios, ¿El "ip neigh" o "Squid" puede controlarlos? :)