Como bloquear ips por mac

Imagen de ccoello

Forums: 

tengo un firewall desde el cual quiero bloquear las direcciones ips de mis clientes por mac como puedo hacer.

Gracias

Un estracto de una

Imagen de deathUser

Un estracto de una información que te puede ser de utilidad:

Fuente: http://involution.com/iptables_demo/
[quote]
ToS Packet Mangling / MAC Addresses as Filtering Criteria

* ToS Packet Mangling
o Allows for Type-Of-Service Parameters to be set per protocol
o iptables -t mangle -A FORWARD -p tcp -dport 22 -j TOS -set-tos 16
o iptables -t mangle -A FORWARD -p tcp -dport 80 -j TOS -set-tos 8
* MAC Addresses as Filtering Criteria
o iptables -A FORWARD -m state -state NEW -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT
o Allows a known MAC Address to be forwarded
[/quote]

iproute2 es tu amigo ip

Imagen de RazaMetaL

iproute2 es tu amigo :)


ip neigh help

Puedes hacer una lista de ips asociadas a mac address por ejemplo:


ip neig replace 192.168.0.2 lladdr 00:40:96:58:25:3b dev eth1 nud perm
ip neig replace 192.168.0.3 lladdr 00:00:00:00:00:00 dev eth1 nud perm
ip neig replace 192.168.0.4 lladdr ca:ca:ca:ca:ca:ca dev eth1 nud perm
ip neig replace 192.168.0.5 lladdr 00:00:00:00:00:00 dev eth1 nud perm

En el ejemplo las ips 192.168.0.1 y 192.168.0.4 estan asocidas a una mac especifica, las demas estan asociadas a una mac ficticia que es poco probable que un dispositivo la tenga, por lo tanto esas pcs estaran sin acceso al gateway, claro, asumiendo que los comandos del ejemplo los ejecutas en el gateway.


aptitude install iproute2

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Una duda sobre ip neigh

Imagen de damage

En el Ejemplo de Raza, o indica como asociar ip-MAC, pero que pasa si alguna ip que no esta declarada en la lista se intenta conectar al gateway, le permitirìa la conexiòn o se la niega?? :?

Keep The Fire Burning.....
Stryper 1988

Si no esta declarada la va a

Imagen de RazaMetaL

Si no esta declarada, entonces la va a permitir.

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

OK men, entonces toca

Imagen de damage

OK men, entonces toca declarar toda la red en el script y colocar mac falsa a las ip que no estan asignadas, trabajito no!, pero toco hacerlo.

Gracias por despejar la duda :)

Keep The Fire Burning.....
Stryper 1988

copy and paste, copy and

Imagen de RazaMetaL

copy and paste, copy and paste, copy and paste :)

Aunque te comento que alguien astuto puedes hacer mac address spoofing :evil:

Por ejemplo desde mi laptop puedo _falsear_ mi mac address para hacerla concordar con alguna de tu script y luego utilizar dhcp o alguna ip estatica para tener acceso a través de tu gateway:


ifconfig wlan0 down
ifconfig wlan0 hw ether 00:00:00:00:00:00 up
dhclient3 wlan0

Asi que es conveniente utilizar aleatoriamente diferentes mac address falsas en el script para hacer mas difícil el acceso.

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Correcto, es màs el

Imagen de damage

Correcto, es màs el maindboard de mi PC tiene una opciòn en el BIOS para cambiarle de MAC a la tarjeta de red que viene integrada :evil:

Por eso aun no lo cambio y por suerte(para nosotros) ya no lo hacen... :cool:

Keep The Fire Burning.....
Stryper 1988

Tengo puesto ese control en

Tengo puesto ese control en mi red (con ip neig), pero hacer algun tiempo me causaba problema ese control, pero mi pregunta es, ¿ Que tan efectivo es ese control comparado con el con el control de iptables...?

Me podria despejar esa duda..

Saludos

Páginas