Veja bem se vc adicionar a regra: ipfw add 50000 deny all from any to any MAC any any
Vc estara bloquenando tudo mesmo... ip e mac ae, o negocio eh vc ir liberando antes, somentes aqueles macs e ips que vc quer por exemplo: ipfw add 100 allow all from MEU_IP to any MAC any MEU_MAC ipfw add 101 allow all from any to MEU_IP MAC MEU_MAC any ae eh 100% 2006/9/5, Rafael Simão <[EMAIL PROTECTED]>: > É justamente isso que eu pretendo fazer !!! > Eu não quero que nenhum engraçadinho use meu Gateway "reservado", ou seja, > eu quero filtrar isso logo de "cara" na interface sem precisar usar no > Firewall, contudo ... minha "neurose" de redundância em tudo me leva a > adicionar também no meu script de firewall ! > Eu queria na verdade que se não estivesse na tabela arp ... o fulaninho nem > "batesse" na minha interface. À "grosso modo" é isso o que eu procuro. > Mas considero as outras respostas e ainda me econtro em testes. > Grato, > Rafael Simão > > > ----- Original Message ----- > From: ""Fabrício F. Kammer"" <[EMAIL PROTECTED]> > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > <freebsd@fug.com.br> > Sent: Tuesday, September 05, 2006 11:01 AM > Subject: Re: [FUG-BR] Controle MAC > > > Entrando de gaito na conversa... > > Aqui amarro o IP ao MAC usando tabela ARP estática, a única coisa que vc > precisa é definir que a interface dos clientes usará tabela arp > estática: ifconfig xl0 staticarp, onde xl0 é a interface onde seus > clientes estão conectados. > > []s > > Celso Viana escreveu: > > Em 05/09/06, Welkson Renny de Medeiros<[EMAIL PROTECTED]> > > escreveu: > >> Celso, eu também tive algumas dúvidas sobre esse negócio de ARP... > >> cheguei a seguinte > >> conclusão.. quando você amarra um ip a um determinado mac, não quer dizer > >> que você não > >> possa mudar de ip, pode sim, e fica duplicado lá no arp do gateway, mas > >> aquele ip que > >> você amarrou só pode ser usado na máquina onde está aquele mac... se você > >> for em outra > >> máquina e tentar colocar o ip 10.10.10.10 verá que ele não consegue > >> acessar seu > >> gateway... > >> > >> Isso resolveu um problema que eu tinha... no dansguardian eu criei > >> excessão para uns 5 > >> ips, mas o pessoal que não participava da excessão sacou que o bloqueio > >> era por ip, > >> então na hora que os pcs sem restrição estavam desligados, eles trocavam > >> o ip :p amarrei > >> os 5 ips ao mac, e quando eles mudam não conseguem navegar... ou seja, > >> aquele ip só > >> acessa daquele mac. > >> > >> Espero ter sido claro. > >> > >> > >> Welkson > >> > >> > >> > >> > >>> 2006/9/5, m3 BSD <[EMAIL PROTECTED]>: > >>>> Cara... usa soh o ipfw mesmo > >>>> mas veja bem, vc precisa acertar umas sysctl que nao me lembro de > >>>> cabeca agora, e prestar bem a atencao para criar as regras do ipfw > >>>> > >>>> Por exemplo: > >>>> > >>>> Digamos que vc quer amarrar o MAC 11:11:11:11:11:11 ao ip 1.1.1.1 > >>>> eu faco assim: > >>>> > >>>> ipfw add 100 allow all from 1.1.1.1 to any MAC any 11:11:11:11:11:11 > >>>> ipfw add 101 allow all from any to 1.1.1.1 MAC 11:11:11:11:11:11 any > >>>> ipfw add 102 deny all from any to any MAC 11:11:11:11:11:11 any > >>>> ipfw add 103 deny all from any to any MAC any 11:11:11:11:11:11 > >>>> > >>>> 2006/9/5, Rafael Simão <[EMAIL PROTECTED]>: > >>>>> Bom dia, > >>>>> Estou com a seguinte dúvida ! > >>>>> Eu tenho 2 BSD gateways em minha rede, ambos conectados ao Velox > >>>>> (Telemar, 2 > >>>>> links), um deles está configurado com SQUID e IPFW e o outro apenas > >>>>> com IPFW > >>>>> e neste eu gostaria de fazer um controle por MAC para determinar quem > >>>>> irá > >>>>> acessar a Internet.Então eu pergunto: > >>>>> Seria editar a tabela arp apontando para um arquivo (arp -f)e após > >>>>> isso > >>>>> bloquear via IPFW ? > >>>>> Apenas bloquear via IPFW ? > >>>>> Eu estava lendo a respeito do IPFW2, eu compilei as opções no Kernel e > >>>>> não > >>>>> consigo habilitar o mesmo ! > >>>>> > >>>>> Grato, > >>>>> Rafael Simão > >>>>> > >>>>> ------------------------- > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>>> > >>>> > >>>> -- > >>>> Atenciosmente > >>>> > >>>> Mario Augusto Mania <m3BSD> > >>>> ----------------------------------------------- > >>>> [EMAIL PROTECTED] > >>>> Cel.: (43) 9938-9629 > >>>> Msn: [EMAIL PROTECTED] > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> Pegando uma carona na thread, tentei amarrar um endereço IP ao MAC > >>> usando "arp" > >>> > >>> arp -s 10.10.10.10 00:0c:6e:1c:c1:65 (gateway) > >>> > >>> depois fui na máquina e mudei o IP para 10.10.10.100 > >>> > >>> fui verificar no gateway e verifiquei que tinha os 2 IP's com o mesmo > >>> MAC; o que posso ter feito errado? > >>> > >>> -- > >>> Celso Vianna > >>> BSD User: 51318 > >>> http://www.bsdcounter.org > >>> > >>> 63 8404-8559 > >>> Palmas/TO > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > Welkson, > > > > Tava tentando amarrar o IP ao MAC com o arp; só que tem esse > > problema... amarrei o IP "A" ao MAC "B"... aí fui na maquina, mudei o > > IP e naveguei normalmente... aí fica a dúvida: é possível amarrar IP > > ao MAC usando arp? > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania <m3BSD> ----------------------------------------------- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
