limitar conexiones en servidor ipcop

Forums: 

hola que tal gracias por responder amigos con respecto a amarrar la mac al ip en ipcop claro hice todos esos pasos que me comentaron

ip neigh replace 192.168.2.10 lladdr 00:11:22:33:44:55 dev eth0 nud perm

eso quiere decir que la ip 192.168.2.10 esta amarrado a la mac 00:11:22:33:44:55
ahora se deberia de guardar los cambios para que la configuracion surta efecto es decir si otra vez

pongo

ip enigh (sale esto)
192.168.2.10 dev eth0 00:11:22:33:44:55 nud perment
pero cuando apago el servidor se paga y nuevamente lo vuelvo a prender pongo de nuevo

ip neigh (me sale)

192.168.2.10 dev eth0 00:11:22:33:44:55 nud reachable

que quiere decir eso al parecer no se ha guardado los cambios

alguien por favor podria explicarme eso una ves echo el primer amarre de la ip a la mac y luego deberia de quedar siempre en nud perment o nud reachable

otra cosa mas por ahy tambienn buscando alguien tendia un problema al tratar de amarrar la mac la ip

es decir el amarraba la mac a la ip pero si algun usuario se cambiaba la ip manualmente este podia seguir navegando y le respondieron que la configuracion que habia echo esta bien lo malo esta que si un usuario se cambiaba la ip esta ya no quedaria amarrado a la mac lo

por decir yo en el ipcop

he amarrado asi

ip neigh replace 192.168.2.3 lladdr 00:11:22:33:44:55 dev etho nud perm
esa ip a esa mac (la mac es solo un ejemplo)

pero si me cambio la ip manualmente es decir

192.168.2.3 normal puedo tener digo porque esta pasando eso no se supone que he amarrado la ip a la mac y qeu si me cambio de ip manualmente no tendria porque tener aceeso ahora la solucion que le plantearon al chico es
que tambien deberia de crear otra regla es decir declarar las ip que estan libres con otras mac

es decir le dieron otro ejemplo de que creara otra regla

ip neigh replace 192.168.2.4lladdr 00:00:00:00:00:11 dev eth0 nud perm
192.168.2.5lladdr 00:00:00:00:00:22 dev eth0 nud perm
192.168.2.6lladdr 00:00:00:00:00:33 dev eth0 nud perm
192.168.2.7lladdr 00:00:00:00:00:44 dev eth0 nud perm
192.168.2.8lladdr 00:00:00:00:00:55 dev eth0 nud perm

ok es decir las ip que no voya a utilizar amarrarlas con otras mac que tampoco esteen en uso para que cuando un usuario quiera cambiarse de ip por ejemplo

192.168.2.4 va a tener la mac 00:00:00:00:00:11 y por lo tanto no va poder tener acceso porque tendria que cambiarse la mac por la que esta permitido ahora el problema esta en que tendria que ir creando reglas hasta llegar al limite total de las ip es decir continuar hasta la ip 192.168.2.254 y tambien las mac

alguien por favor podria decirme como evitar eso osea solo limitar las conexiones es decir

solo tener hasta el rango 192.168.2.1 hasta el 192.168.2.20 es decir que hasta ese rango no mas tengan accesso
fuera de eso no puedan tener acceso que no se les asigne ip ok o apartir de las ip que ya he permitodo de ahy en adelante todo se bloquee alguien por favor podria decirme como lo hago

Si buscas en el foro hace

Imagen de damage

Si buscas en el foro hace muchisimo tiempo se hablo del script de ipneigh, el cual debes hacerlo y declarar toooda tu subred desde la primer ip hasta la ultima o .254 o la que corresponda a tu subred.
Dicho script debes hacerlo ejecutable y colocarlos en rc.local para hacerlo que se ejecute cuando este reiniciando tu linux, recuerda que si lo reinicias se hace un flush de tooodos los servicios (lógico no....!), así si solo ejecutas en el terminal el ip ne, eso sera solo momentaneo, más no permanente.

Tienes que llamar esas reglas

Imagen de nino1511

Tienes que llamar esas reglas a tu scrpt para que se vuelvan a ejecutar cada vez que se inicie el sistema. PUEDES USAR EL /etc/rc.local o crear tu propio script y que se inicie con

ln -s dirección_donde_esta_tu_script NOMBRE_QUE_LE_QUIERAS_COLOCAR

Antes de eso debes estar dentro de /etc/rc3.d/ y luego ejecutar el comando anterior.

Ejemplo
vi /root/script-total

#!/bin/sh
PATH=$PATH:/sbin
TC=/sbin/tc
xxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxx
#llamar a script de mac address
/home/usuario/mac-addres

DONDE mac-address contiene lo siguiente

echo "BLOQUEO DE MAC ADDRESS"
IP="/sbin/ip"
$IP neigh flush dev eth1 nud perm
$IP neigh replace 192.168.0.2 lladdr 00:00:00:03:0b:40 dev eth1 nud perm

Saludos

Vamos Ecuador, si se puede

no puedo llegar a esa raiz en ipcop

hola amigos gracias por responder cpn rspecto a su ayuda haber las reglas de ip neigh deberias de crearlas dentro de raiz qu em edieron osea
que para que las reglas se guarde debo de llegar a la
raiz

etc/rec.local

yo intento llegar a etc/rc.local pero me sale en error
alguien por favor podria decirme como llegar en ipcop ha rc.local que lo esoty intentando pero no soy capas de llegar ahy para hacer mis rteglas

No recuerdo si IPCop tiene un

Imagen de deathUser

No recuerdo si IPCop tiene un archivo /etc/rc.local, mira la documentación de la versión que estés usando a ver cual es el script para colocar las reglas de firewall personalizadas o el equivalente del rc.local.

bye
;)

Es /etc/rc.local no

Imagen de damage

Es /etc/rc.local no etc/rc.local, pero puedes colocar e lscript donde quieras y despuer hacer que el SO lo llame al levantar los servicios hay muchas maneras de hacerlo, para que te des una idea mira en /etc/init.d/, los script's de squid o algunos más.

hola amigos no ipcop no tien /etc/rc.ocal

hoal amigos por mas que he trtado de llegar a esa raiz no lo he conseguido veran

con putty ingreso

root@ipcop:~ # cd ..
root@ipcop:~ #ls
bin dev home lost+found proc sbin tmp var
boot etc lib mnt root swapfile usr

root@ipcop:~ # cd /etc
root@ipcop:/etc # ls

certparams host.conf ld.so.conf ntp.conf snort
Conexant hosts ld.so.preload passwd squid
dhcpd.conf hosts.allow limits pcmcia ssh
eagle-usb hosts.deny localtime pcmcia.conf ssl
eciadsl httpd log.d ppp sysctl.conf
fcron.allow inittab login.access profile syslog.conf
fcron.conf inputrc login.defs protocols updfstab.conf
fcron.deny ipac-ng logrotate.conf rc.d updfstab.conf.default
fdprm ipsec.conf mime.types resolv.conf wanpipe
fstab ipsec.d modules.conf securetty
fstab.REVOKE ipsec.secrets mtab services
group issue nsswitch.conf shadow
gshadow ld.so.cache ntp shadow-

como veran no lleva /etc/rc.local

no entiendo a donde tengi que llegar

si hago eosto ahy dentro de esa raiz donde me he quedado
root@ipcop:/etc # cd rc.d
root@ipcop:/etc # ls
helper rc.conexantusbadsl rc.fritzdsl rc.pulsardsl
ipsec rc.connectioncheck rc.halt rc.red
rc.3cp4218usbadsl rc.eagleusbadsl rc.isdn rc.sysinit
rc.alcatelusb rc.eciadsl rc.local rc.updatered
rc.alcatelusbk rc.firewall rc.netaddress.down rc.wanpipe
rc.amedynusbadsl rc.firewall.local rc.netaddress.up
rc.bewanadsl rc.flash.down rc.network
rc.conexantpciadsl rc.flash.up rc.pcmcia

ahy recien encuentro rc.local erp para poder ingresar a rc.local tengo que hacer esto

root@ipcop:/etc/rc.d # vi /rc.local

ahy recien puedo ingresar ya pero no logro compreder lo que me dicen que tengi que hacer mi scripe osea ahy adentro porque ahy adentro solo logro encontrar uan opantalla negra donde tengique poner algo no se conque debo de rellenarlo esque me an dado al ayud aperto al parecer soy yo quien no logra comprender bien las cosas por fa amiguitos ayudenme por mas que logro entender no lo comprendo este punto es el que no logro comprender loq ue el amigo dice

Tienes que llamar esas reglas a tu scrpt para que se vuelvan a ejecutar cada vez que se inicie el sistema. PUEDES USAR EL /etc/rc.local o crear tu propio script y que se inicie con

ln -s dirección_donde_esta_tu_script NOMBRE_QUE_LE_QUIERAS_COLOCAR

Antes de eso debes estar dentro de /etc/rc3.d/ y luego ejecutar el comando anterior.

Ejemplo
vi /root/script-total

#!/bin/sh
PATH=$PATH:/sbin
TC=/sbin/tc
xxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxx
#llamar a script de mac address
/home/usuario/mac-addres

DONDE mac-address contiene lo siguiente

echo "BLOQUEO DE MAC ADDRESS"
IP="/sbin/ip"
$IP neigh flush dev eth1 nud perm
$IP neigh replace 192.168.0.2 lladdr 00:00:00:03:0b:40 dev eth1 nud perm

porque me pone eso porfa no logro comprener ayudemmne la ayuda est abien pero no logro comprender

Debes hacer un script que se

Imagen de damage

Debes hacer un script que se llame por ejemplo ipne, al cual le declaras toda tu subred ejemplo:

#!/bin/sh

# Variables
WANDEV="eth0"
LANDEV="eth1"

# FLUSH
/sbin/ip neigh flush dev $WANDEV nud perm
/sbin/ip neigh flush dev $LANDEV nud perm

echo "Flush Aplicado .........."

# LISTA DOMESTICOS
/sbin/ip neigh replace 172.100.1.2 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.3 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.4 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.5 lladdr 00:02:0e:36:48:07 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.6 lladdr 00:02:0e:36:48:07 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.7 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.8 lladdr 00:30:1A:04:cb:95 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.9 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
/sbin/ip neigh replace 172.100.1.10 lladdr 00:00:00:00:00:00 dev $LANDEV nud perm
.......................y asi hasya la ip .254 o la que corresponda a tu subred.

Guardas los cambien en el archivo, lo haces ejecutable con chmod +x, luego lo colocas donde se pueda ejecutar al levantar los servicios ipcop y listo no es nada dificil, solo dale tiempo.

Ojo si miras con detalle algunas estan con 00:00:00:00:00:00, eso significa que esa ip no esta asignada a nadie, por lo cual deberias usar una mac falsa puede ser solo 00 o lo que se te ocurra por ejemplo 00:00:11:00:11:00.

sugerencia adicional, mira el

Imagen de deathUser

sugerencia adicional, mira el manual de vi para que puedas hacer la edición, por ejemplo:


vi /etc/rc.d/rc.local

El vi tiene dos modos, uno de comando y uno de edición, el modo de comando es el modo de default, para entrar en modo de edición teclea la letra "i", te debe aparecer la indicación "insert", como estás trabajando con putty, puedes editar el scrip en cualquier editor y cuando lo tengas listo, simplemente pegas el contenido en el archivo.

Ahora, para salir del modo de edición presiona la tecla "ESC" y para grabar, digita: ":x!" y ENTER.

Eso debe grabar el script, para probarlo digita:


/etc/rc.d/rc.local

Y si no te da ningún mensaje de error, pues listo, a probar si funciona ...

Suerte ...

bye
;)

ya pude amarrar mac a ip

hola amigos que tal gracias por su ayuda ya alfin pude amarrar la mac a la ip osea con los pasos que me dieron pude hacer lo

vi rc.local ahy dentro edite las reglas del amarrado de ip con mac ahora bien lo malo esque por decir yo solo tengo del 192.168.2.2 hasta el 192.168.2.20 de ahy en adelante quiero que todo se bloque claro tambien de tener la posibilidad de por si mas adelante deseo agregar una maquina mas osea pro decir si todo aparit del 192.168.2.21 en adelante esta bloqueado ps quisiera saber si se pude desbloquear por decir la ip 192.168.2.21 asi suceciva,ente segun la cantidad de uauarios que vaya teniendo espero amigos me puedan ayudar ok gracias por su ayuda anterior