[GTER] Ajuda com filtro

[Andre Gustavo Albuquerque]

=20

> -----Original Message-----
> From: Rodrigo Resende
> Sent: Thursday, December 30, 2004 5:03 PM
>=20
...
> Bom esta =E9 minha primeira postagem aqui :)
> Sou est=E1giario numa institui=E7=E3o de ensino e hoje temos
> um problema com nossos users que constantemente mudam
> seus respectivos IPs, diga-se de passagem que n=F3s
> possu=EDmos IPs v=E1lidos que est=E3o distribuidos em 5
> classes C.
> Estou pensando em montar um DHCP e "prender" IP+MAC
> com isto apenas maquinas cadastradas conseguiriam usar
> um determinado IP teoricamente, estou certo?
> Tbem possuimos uma bridge rodando Linux + IPtables
> fazendo uma filtragem entre nossa rede com o exterior.
> Esbo=E7o:
>  |Nossa_Rede|---|Bridge|---|Exterior|=20
> Minha duvida =E9 a seguinte, qual a melhor maneira de eu
> bloquear que n=E3o estiver cadastrado em nosso DHCP,
> filtragem na bridge ou poderia adotar uma outra
> solu=E7=E3o mais eficaz?
> Desde j=E1 agrade=E7o a aten=E7=E3o de todos e feliz 2005.

 =C9 bridge mesmo?

 O DHCP server roda nesta bridge? Se n=E3o, em que lado ele se=20
encontra, na Nossa_Rede ou no Exterior?

 Acho que se vc colocar um switch nessa rede com capacidade de amarrar=20
MAC =E0 porta f=EDsica (entenda: capacidade de filtrar endere=E7os MAC), =
os=20
usu=E1rios n=E3o poder=E3o fazer joguinhos de alterar MAC address sem =
ficar=20
trocando cabos.

 Se no teu caso os usu=E1rios usam notebooks, isso talvez n=E3o seja =
poss=EDvel,=20
neste caso sugiro usar um switch L2/L3 com capacidade de fazer =
dhcp-relay=20
e half-bridging, filtrando os pacotes oriundos de MAC addresses que =
n=E3o=20
tiveram a negocia=E7=E3o DHCP feita naquela porta de acesso e/ou possuem =
IP=20
diferente do atribu=EDdo pelo servidor DHCP.

 Se uma solu=E7=E3o comercial n=E3o for vi=E1vel, e se vc quiser amarrar =
tudo no=20
linux, talvez seja melhor pra voc=EA implementar esse controle neste =
servidor
que est=E1 sendo usado como bridge, transform=E1-lo em roteador, e fazer =
um script=20
que altere as regras iptables em cada altera=E7=E3o da base de dados de =
leases=20
do servidor dhcp (no caso do ISC DHCPd, dhcpd.leases).

 Uma op=E7=E3o mais radical =E9 implementar tunelamento nos pontos de =
acesso
menos seguros. Colocar um servidor PPPoE na bridge e n=E3o deixar nada =
passar
que n=E3o venha pelo t=FAnel =E9 uma alternativa (dr=E1stica, mas =
funciona, e =E9
a menos suscet=EDvel ao samba-das-mudan=E7as-de-ip).

 Enfim, diversas solu=E7=F5es existem para diversos n=EDveis de =
paran=F3ia e=20
or=E7amentos.
=20
 Um feliz 2005, Gustavo Albuquerque