Bloquear ip's fijas en firewall

Forums: 

hola amigos...
tengo el siguiente problema:
tengo mi red administrada por dhcp y funciona bien, el problema es cuando un usuario se pone una direccion ip fija, comienzan los problemas con los conflictos de la red.
trate de hacer que mi firewall solo acepte ip's con sus respectivas direcciones MAC y cerrar todas las demas ip's pero no me funciona, supongo que es un problema con mis reglas de iptables pero no se cual. esque apenas comienzo a aprender iptables.
gracias de antemano.
anexo mi configuracion de firewall.

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecimiento de politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A INPUT -i lo -j ACCEPT

# Cerramos el puerto del squid para obligar al paso por DansGuardian
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3128 -j DROP

# Al firewall tenemos acceso desde la red local LAN
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE

# Direcciona para hacer nat en nuestra LAN al puerto 8080 al 80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

# Permitimos hacer forward de paquetes en el firewall, es decir
# que otras máquinas puedan salir a traves del firewall.
echo "1" > /proc/sys/net/ipv4/ip_forward

# Aqui agregamos los puertos que queramos abrir
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 7001 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7001 -j ACCEPT

# Cerramos el rango de puertos conocidos
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

# aqui estan todas las direcciones ips con sus respectivas mac que se pueden conectar. en mi dhcpd.conf les asigno la ip.
iptables -A FORWARD -s 192.168.1.57 -d 192.168.1.18 -m mac --mac-source 00:13:F7:11:89:0A -j ACCEPT
iptables -A FORWARD -s 192.168.1.58 -d 192.168.1.18 -m mac --mac-source 00:08:A1:60:CE:B7 -j ACCEPT
iptables -A FORWARD -s 192.168.1.59 -d 192.168.1.18 -m mac --mac-source 00:01:80:4B:EB:63 -j ACCEPT
iptables -A FORWARD -s 192.168.1.60 -d 192.168.1.18 -m mac --mac-source 00:0B:CD:A4:2B:F3 -j ACCEPT
iptables -A FORWARD -s 192.168.1.61 -d 192.168.1.18 -m mac --mac-source 00:0E:35:EA:71:35 -j ACCEPT
iptables -A FORWARD -s 192.168.1.62 -d 192.168.1.18 -m mac --mac-source 00:0D:87:68:91:A8 -j ACCEPT
iptables -A FORWARD -s 192.168.1.63 -d 192.168.1.18 -m mac --mac-source 00:E0:4C:99:10:11 -j ACCEPT
iptables -A FORWARD -s 192.168.1.64 -d 192.168.1.18 -m mac --mac-source 00:40:F4:F5:A3:D7 -j ACCEPT

# Cerramos el acceso a todas las demas direcciones de nuestra red
iptables -A FORWARD -s 192.168.1.0/24 -j DROP

#Grabar reglas de iptables
/sbin/service iptables save

Yo no uso dhcp, coloco ip

Imagen de damage

Yo no uso dhcp, coloco ip estaticas, pero para evitar que la gente este cambiando de ip, las asocio con el mac, esto se hace con el comando ip neigh, hay que crear un script y declarar las ip y mac, aca en el foro se posteò hace unos meses el script, usa la opcion buscar, puede que te sirva.

Keep The Fire Burning.....
Stryper 1988

Si tu red funciona con DHCP

Imagen de Root Bit

Si tu red funciona con DHCP seria un error controlar el acceso a traves de IP - MAC puesto que cada vez que se encienda una maquina tendra una IP diferente.

Ahora si desactivas DHCP y trabajas con IPs fijas, puedes usar la siguiente linea en tu firewall para aplicar el control IP - MAC

ip neigh replace 192.168.1.57 lladdr 00:13:F7:11:89:0A dev eth1 nud perm

Logicamente deberas agregar una linea por cada IP que desees controlar.

Saludos,

There are only 10 types people in the world:
Those who understand binary and those who don't

There are only 10 types people in the world:
Those who understand binary and those who don't

En el comentario anterior

Imagen de Root Bit

En el comentario anterior asumi que la interface que se conecta contra tu LAN es la eth1 esto podria variar si es asi deberias poner la interface respectiva.

Para el bloqeuo a las IPs que no deseas que tengas acceso, podria ser asi:

ip neigh replace 192.168.1.57 lladdr 00:00:00:00:00:00 dev eth1 nud perm

There are only 10 types people in the world:
Those who understand binary and those who don't

There are only 10 types people in the world:
Those who understand binary and those who don't

Sobre DHCP

Imagen de deathUser

[quote=Root Bit]
Si tu red funciona con DHCP seria un error controlar el acceso a traves de IP - MAC puesto que cada vez que se encienda una maquina tendra una IP diferente.
[/quote]
No necesariamente, con DHCP se pueden asignar direcciones IP fijas a cada MAC, con eso tienes el control que quieres desde el DHCP y puedes aplicar las reglas de filtrado en el firewall sin problema.

bye
:)

gracias pero....

gracias por sus comentarios,
sobre lo que me comentaba Root bit de que las Mac toman diferentes ip cada vez que se prenden, olvide decir que en mi dhcp no tengo ningun rango de ip's dinamicas abierto, solo asigno a cada mac de mi red una direccion ip, el que no doy de alta en el dhcp no se conecta, pero el problema es si un usuario que ya esta dado de alta en el dhcp se cambia la ip, segun mi teoria no deberia de entrar porque ya no viene la relacion ip - mac, pero si se conecta.
y sobre utilizar ip neigh.
se puede utilizar tambien como iptables?? es decir, lo puedo agregar en el mismo script que ya mostre arriba??
gracias..

Cita:tengo mi red

Imagen de RazaMetaL

[quote]tengo mi red administrada por dhcp y funciona bien, el problema es cuando un usuario se pone una direccion ip fija, comienzan los problemas con los conflictos de la red.[/quote]

No nos dices que conflicto te da. En todo caso, desde el servidor DCHP puedes especificar que ip tendrá determinada MAC ADDRESS, es cuestion de que especifiques una a una las direcciones con su respectiva MAC, para las direcciones que no van a ser asignadas puedes utilizar 00:00:00:00:00:00 :


host pc01 {
fixed-address 192.168.0.101;
hardware ethernet 00:04:5a:76:89:7a;
}

host pc02 {
fixed-address 192.168.0.102;
hardware ethernet 00:02:4a:79:89:7b;
}

host pc03 {
fixed-address 192.168.0.103;
hardware ethernet 00:00:00:00:00:00;
}

host pc04 {
fixed-address 192.168.0.104;
hardware ethernet 00:00:00:00:00:00;
}

host pc05 {
fixed-address 192.168.0.105;
hardware ethernet 00:00:00:00:00:00;
}

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});