Limitar el Internet solo a las XO: Difference between revisions
m (Created page with '== Proceso == Opcion 1. a) Que el servidor dhcp asigne las ips en forma fija por direccion de placa de red, y luego haces filtrado por ip fija en forma normal. b) Filtrar por m…') |
No edit summary |
||
Line 1: | Line 1: | ||
== Proceso == |
== Proceso == |
||
Opcion 1. |
|||
=== Opción 1 === |
|||
⚫ | |||
⚫ | |||
b) Filtrar por mac address directamente. |
b) Filtrar por mac address directamente. |
||
== Opción A == |
|||
Ahi van las opciones: |
Ahi van las opciones: |
||
Line 47: | Line 49: | ||
Nota: Por si acaso, haciendo un ifconfig en tu linux averiguas facilmente la mac address |
Nota: Por si acaso, haciendo un ifconfig en tu linux averiguas facilmente la mac address |
||
== Opción B == |
|||
b) Para poder filtrar por mac address (en iptables por supuesto) haces uso de una extension "matches (coincidencias)" para lo cual tenes que agregar el argumento "-m" al introducir la regla. |
b) Para poder filtrar por mac address (en iptables por supuesto) haces uso de una extension "matches (coincidencias)" para lo cual tenes que agregar el argumento "-m" al introducir la regla. |
||
Ademas tenes que poner por supuesto la direccion mac,mediante el siguiente argumento "--mac-source" es el indicador que nos marca la mac de origen. |
Ademas tenes que poner por supuesto la direccion mac,mediante el siguiente argumento "--mac-source" es el indicador que nos marca la mac de origen. |
||
Line 69: | Line 72: | ||
o iptables -A FORWARD -m state -state NEW -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT |
o iptables -A FORWARD -m state -state NEW -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT |
||
o Allows a known MAC Address to be forwarded |
o Allows a known MAC Address to be forwarded |
||
****************************************************************************** |
|||
== IPRAUTE2 == |
|||
iproute2 es tu amigo |
iproute2 es tu amigo |
||
Line 83: | Line 85: | ||
ip neig replace 192.168.0.5 lladdr 00:00:00:00:00:00 dev eth1 nud perm |
ip neig replace 192.168.0.5 lladdr 00:00:00:00:00:00 dev eth1 nud perm |
||
En el ejemplo las ips 192.168.0.1 y 192.168.0.4 estan |
En el ejemplo las ips 192.168.0.1 y 192.168.0.4 estan asociadas a una mac especifica, las demas estan asociadas a una mac ficticia que es poco probable que un dispositivo la tenga, por lo tanto esas pcs estaran sin acceso al gateway, claro, asumiendo que los comandos del ejemplo los ejecutas en el gateway. |
Revision as of 14:57, 23 March 2010
Proceso
Opción 1
a) Que el servidor dhcp asigne las ips en forma fija por dirección de placa de red, y luego haces filtrado por ip fija en forma normal.
b) Filtrar por mac address directamente.
Opción A
Ahi van las opciones:
a) Archivo importante: /etc/dhcpd.conf.Me imagino que lo conocen, pero aca va un ejemplo
- Definimos la red (subred) y la mascara.
subnet 192.168.0.0 netmask 255.255.255.0 {
- Introducimos el gateway por defecto. En este caso ira el que
estas usando como firewall y que de acceso a internet. option routers 192.168.0.1; option subnet-mask 255.255.255.0;
- Direccion de broadcast
option broadcast-address 192.168.0.255;
- Agregas los nombres de los servidores de nombres que permitiran hacer la resolucion de nombres ip.
option domain-name-servers 200.43.0.115;
- El rango de ip que seran asignadas a las maquinas. Reservo
algunas ip (5) para ser asignadas en forma fija, por ejemplo a tu DEBIAN, y al
- server dhcp - range dynamic-bootp 192.168.0.5 192.168.0.50
- Asigno un tiempo por defecto que permanecera la ip asignada.En
segundos. default-lease-time 62208000;
- Tiempo maximo que permanecera la ip asignada.En segundos.
max-lease-time 62208000; }
- Para especificar a un cliente en particular, la ip fija
asignada por dhcp apareada a una maquina en particular, agregas: host sebastian{ hardware ethernet 10:0F:2b:4c:59:23; fixed-address 192.168.0.6; } Nota descriptiva: hardware <type> <address>; Indica la direccion fisica (MAC) de un cliente particular (declaraciones tipo host). El atributo type expresa el tipo de arquitectura de la interfaz de red, actualmente puede ser: ethernet o token-ring. La direccion MAC se expresa utilizando seis numeros hexadecimales (numeros desde 00 hasta ff) separados por el caracter ``:.
Luegon en linea de comandos reinicios el servidor: shell # > /etc/init.d/dhcpd restart Nota: Por si acaso, haciendo un ifconfig en tu linux averiguas facilmente la mac address
Opción B
b) Para poder filtrar por mac address (en iptables por supuesto) haces uso de una extension "matches (coincidencias)" para lo cual tenes que agregar el argumento "-m" al introducir la regla. Ademas tenes que poner por supuesto la direccion mac,mediante el siguiente argumento "--mac-source" es el indicador que nos marca la mac de origen.
iptables -A INPUT -m --mac-source 10:0F:2b:4c:59:23 -j ACCEPT
Otra manera de hacerlo:
Bloquear las direcciones ips de mis clientes por mac
Un estracto de una información que te puede ser de utilidad: Fuente: http://involution.com/iptables_demo/ Cita: ToS Packet Mangling / MAC Addresses as Filtering Criteria
- ToS Packet Mangling
o Allows for Type-Of-Service Parameters to be set per protocol o iptables -t mangle -A FORWARD -p tcp -dport 22 -j TOS -set-tos 16 o iptables -t mangle -A FORWARD -p tcp -dport 80 -j TOS -set-tos 8
- MAC Addresses as Filtering Criteria
o iptables -A FORWARD -m state -state NEW -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT o Allows a known MAC Address to be forwarded
IPRAUTE2
iproute2 es tu amigo
ip neigh help
Puedes hacer una lista de ips asociadas a mac address por ejemplo:
ip neig replace 192.168.0.2 lladdr 00:40:96:58:25:3b dev eth1 nud perm ip neig replace 192.168.0.3 lladdr 00:00:00:00:00:00 dev eth1 nud perm ip neig replace 192.168.0.4 lladdr ca:ca:ca:ca:ca:ca dev eth1 nud perm ip neig replace 192.168.0.5 lladdr 00:00:00:00:00:00 dev eth1 nud perm
En el ejemplo las ips 192.168.0.1 y 192.168.0.4 estan asociadas a una mac especifica, las demas estan asociadas a una mac ficticia que es poco probable que un dispositivo la tenga, por lo tanto esas pcs estaran sin acceso al gateway, claro, asumiendo que los comandos del ejemplo los ejecutas en el gateway.