Ir al contenido
Conéctate para seguir esto  
towa

Seguridad asociando mac a ip mediante iptables???

Publicaciones recomendadas

Hola, soy administrador de redes de una empresa, en la cual tenemos un server linux corriendo dhcpd para asignar ips fijas a cada pc, y iptables como cortafuegos, cada ip tiene ciertos privilegios y los empleados se han dado cuenta de eso, entonces lo que hacen es desactivar el dhcp y se asignan ellos una ip fija, la solucion fue rapida bloquearles el acceso para cambiar la configuracion tcp/ip y asi nadie podia ponerse la ip fija, pero mi pregunta es si hay alguna forma de que iptables ,el cortafuegos de linux, o si existe alguna otra herramienta que compruebe ip y mac en alguna tabla y si corresponden que deje pasar el trafico, por ejemplo:

00:11:22:33:44:55 -------> 192.168.1.2 (asociacion correcta)

entonces si un empleado se pone la ip 192.168.1.2 como la mac no es la que hay en la tabla que iptables o el programa que fuese, rechazase los paquetes, no se si me he explicado bien, sabeis si existe alguna utilidad o alguna forma de hacer esto? Espero que me podais ayudar gracias.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Wenas, si eres administrador de redes siento ser tan duro en tu primer post pero es un error gravísimo que un usuario pueda cambiar el protocolo tcp/ip en el pc. Y un consejo revisa todo el tema de privilegios no vayas a tener más agujeros de seguridad que un queso gruyere ;-)

Y te muevo el post al foro linux, que es más adecuado para el tema en cuestión, saludos

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Bienvenid@ :)

Puedes crear una regla que además de controlar la IP controle la dirección mac del paquete. Por ejemplo, podrías tener una regla así:

iptables -A FORWARD -i eth0 -p tcp -s 192.168.1.2 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

Editao: Pues se me coló el -m mac. Thx ErNi_ :P

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Puedes usar iptables para controlar el trafico a nivel de MAC, con el ejemplo que ha puesto Nacx o con algo como

iptables -A FORWARD -i eth0 -m mac --mac-source  -j ACCEPT

iptables -A FORWARD -i eth0 -m mac --mac-source  -j DROP

pero si los usuarios se cambian la MAC por software (cosa que por lo general se puede hacer aunque en unos sistemas operativos cueste un poco mas que en otros) estaras en la misma situación.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Antes que nada gracias por contestar tan rapido, ya se que el fallo fue mio de no quitar privilegios a los usuarios pero digamos que la confianza da asco... pero todo ese tema de privilegios ya esta solucionado, ahora tienen que aguantar un feo fondo de pantalla por obligacion :D, bueno hablando del tema lo del iptables poniendo la ip y la mac lo habia pensado pero no he tenido tiempo de probar, habia leido algo sobre iproute2 donde podias asignar la ip y la mac a una tabla y se encarga de controlar la concordancia, sabeis algo sobre eso? o sino me decantare sobre iptables, voy a abrir otro tema sobre squid a ver si alguien esta puesto en el tema y me hecha una manita tambien con el proxy, gracias otra vez a todos por contestar!!!

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

A ver, hay que usar cada cosa para lo que toca. Iproute está pensado para configurar la manera en que son encaminados los paquetes en el sistema: tablas de encaminamiento, políticas de cola, etc; y iptables es la herramienta pensada para diseñar las reglas de filtrado para realizar un filtrado de paquetes completo.

Vale que con iproute puedas realizar cierto tipo de filtrado de paquetes, pero si puedes hazlo con iptables; será mucho más sencillo y flexible.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Vale gracias, simplemnte era eso habia oido algo del iproute y queria saber que era lo recomendable usar, si iptables o iproute, todo aclarao :D :D gracias por vuestra ayuda

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
Conéctate para seguir esto  

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.