Resolvi o problema com dois niveis de seguran�a: 1 -Associo o MAC address ao IP via dhcp, e fixo a tabela, vinculando o IP ao MAC address, o que n�o tem se mostrado seguro :( 2 - Coloco regras de 'skipto' no IPFW, mais ou menos assim:
00001 allow ip from any to any via lo0 00009 skipto 100 ip from 192.168.0.10 to any in recv rl2 00010 skipto 100 ip from 192.168.0.11 to any in recv rl2 00011 skipto 100 ip from 192.168.0.12 to any in recv rl2 ..... 00017 skipto 100 ip from 192.168.0.20 to any in recv rl2 00018 skipto 100 ip from 192.168.0.23 to any in recv rl2 00050 deny ip from 192.168.0.0/24 to any in recv rl2 00100 divert 8668 ip from any to any via rl0 00200 allow ip from any to any 65535 deny ip from any to any Quando o IP do cliente � comparado com a regra, ela faz ele dar um 'pulo' na regra 'deny' e assim quem nao estiver registrado nao passa. valeu. Alfredo Tomio Junior ----- Original Message ----- From: "Rogerio Heringer" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Friday, November 29, 2002 3:01 PM Subject: Re: [FUGSPBR] Tabela arp sendo alterada por cliente. > Alfredo Tomio , > Estou com o mesmo problema aqui... > eu uso arp -f /etc/macs.txt > e acontece a mesma coisa, o ip esta associado ao mac porem em alguns > clientes hora libera hora fixa o mac > > nao achei explicacao. > isso ocorre num openbsd3.2 , e estou precisando de algo mais descente para > associar ip ao mac, o brconfig me parece uma boa, porem nao o endedi > direito... > []'s > > Rogerio Heringer > > > > ----- Original Message ----- > From: "Marcelo B." <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Friday, November 29, 2002 10:20 AM > Subject: Re: [FUGSPBR] Tabela arp sendo alterada por cliente. > > > > Sr. Alfredo Tomio. > > ja tentou usar ipfw2 ou ethfw ? > > com certeza vai ser melhor que o arp. > > > > > > On Thu, 28 Nov 2002, Alfredo Tomio Junior wrote: > > > > > Pessoal, > > > > > > Para ter controle de acesso a Internet, em edificios condominiais possuo > uma > > > entrada no /etc/dhcpdb.pool distribuindo o IP para um MAC address > > > especifico. > > > E tenho um script que fixa a dupla IPxMAC da LAN, ele roda o comando > arp -s > > > numeroip endere�omac para todos os IPs da rede interna, do 1 ao 254. > > > Sendo que cada predio esta com aproximadamente 15 clientes. A tabela, > tem na > > > sua maioria, entradas assim: arp -s 192.168.1.1 aa:aa:aa:aa:aa:aa > > > > > > No entanto percebi uma entrada assim: > > > > > > ? (192.168.0.3) at 00:e0:98:95:9d:7a on rl0 [ethernet] > > > > > > e n�o como era pra estar, assim: > > > > > > ? (192.168.0.3) at aa:aa:aa:aa:aa:aa on rl1 permanent [ethernet] > > > > > > Como o cliente conseguiu mudar uma tabela previamente fixada ?? > > > Esse sistema � falho ? > > > > > > Alguem usa esse sistema ? > > > > > > > > > Alfredo Tomio Junior > > > > > > > > > > > > > > > _______________________________________________________________ > > > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr > > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ > > > > > > > _______________________________________________________________ > > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ > > > > _______________________________________________________________ > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ > _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
