Em Quinta 31 Maio 2001 02:20, Rogerio Heringer escreveu: > OBS: se nao der com o iptables posso tentar usar o ipchains sem problemas , > so quero entender como o ipchains/iptables consulta o arp Ola Rogerio. Na verdade, nunca usei o kernel novo (versoes 2.4.x) portanto nao posso te ajudar com o iptables. Segundo o nosso colega da lista Braulio W. Gergull, o iptables ja conta com o recurso de criar regras baseadas em enderecos MAC, mas como muita gente (eu inclusive) ainda nao "migrou" para o kernel novo, a solucao seria a descrita abaixo. Funciona assim: PASSO [1] - Tabela ARP: Primeiramente, vc precisa identificar os enderecos MAC das placas de cada host q vc quer "liberar" o acesso. Feito isso vc vai lah no gateway (cujo masquaramento esta inicialmente bloqueado para todo mundo) e adiciona o par IP x MAC na tabela ARP. Para isso siga o exemplo: arp -s 192.168.1.100 00:00:C0:FF:DE:15. Ok, mas pra q isso? Para q NENHUM outro usuario consiga "roubar" algum destes IPs quando a maquina "portadora" deste IP estiver desligada. Na verdade a tabela ARP serve para traduzir o endereco IP para o endereco MAC da placa de rede. Por exemplo, quando vc pingar (pelo gateway) o IP 192.168.1.100 o gateway ira "gritar" no barramento da rede em busca da placa cujo MAC eh 00:00:C0:FF:DE:15 (tomando como base o meu exemplo anterior), e se alguma outra placa estiver configurada para este IP ela nao sera "alcancada". PASSO [2] - ipchains: Ok, agora vc ja conseguiu "manter" uma tabela ARP fixa dos IPs q vc vai liberar o acesso. Feito isso vc tem q "liberar" o masquaramento SOMENTE para estes IPs, e NAO para a rede toda. Entao via ipchains ficaria assim: ipchains -P forward DENY (para bloquear geral o roteamento). ipchains -A forward -s 192.168.1.100/32 -j MASQ (para "liberar" o masquaramento para este IP, note a importancia do /32). O RESULTADO - a combinacao de ARP + ipchains: Agora somente o IP 192.168.1.100 sera masquarado, e mesmo q algum usuario mude o IP de outra maquina q nao a portadora oficial deste IP com o objetivo de "roubar" a conexao, ele nao conseguira porque na hora da traducao do endereco IP para MAC a tabela ARP estara apontando para outro endereco MAC, sacou??? CONCLUSOES: Na verdade, para vc conseguir limitar o acesso (para fora somente, porque as outras estacoes possuem suas tabelas ARP individuais e nada sabem sobre aquela "amarracao" q vc fez na tabela ARP do gateway) vc precisa "combinar" a tabela ARP com o masquaramento do ipchains. Vc pode inclusive automatizar o processo descrito acima gerando um arquivo com a tabela ARP (/etc/ethers), fazendo o comando arp ler este arquivo durante o boot (man arp). ;-) Soh um detalhe, as maquinas internas irao continuar se "enxergando", sendo q somente aquelas q vc liberou o MASQ no gateway irao "sair" para a Internet. Acho q eh isso. Qualquer coisa mail-me. T+ OBS: Pessoal, se falei alguma besteira me corrijam, ok. ;-) -- Jorge Luiz de Paula Martins Filho Analista de Sistemas Linux Registered User # 189215 -- IRC: A maneira mais divertida de aumentar a sua conta telef�nica! Assinantes em 31/05/2001: 2272 Mensagens recebidas desde 07/01/1999: 116111 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
Re: (linux-br) Ipchains e IPTABLES (para todos os gurus)
Jorge Luiz de Paula Martins Filho Thu, 31 May 2001 16:31:29 -0700
- (linux-br) Ipchains e IPTABLES (para tod... Rogerio Heringer
- Jorge Luiz de Paula Martins Filho
