soft routare cu auth pe baza de MAC

Sylvester · 21-03-2003, 14:25

Am un p1-133 ~40MB ram , 1GB HDD pe care vreau sa-l fac router.
Deci caut un soft care sa faca share la o legatura internet pe lan si care *NEAPARAT* sa dea acces numai unor utilizatori pe baza unei tabele de adrese MAC. Adica ai macu din lista, ai internet. Stiu ca se face foarte frumos din linux dar chiar presupunand ca i-as da de cap iptables-ului mai sunt si alte chestii de configurat cu alte cuvinte multa documentatie de care nu am acum timp.
Ideal ar fi ori o distributie specializata de linux gen coyote,freesco,LRP,smoothwall ori un prog care sa ruleze pe win NT si sa incapa in aia 40 MB ram.
Ca fapt divers freesco si smoothwall au mers bine mersi doar ca primul n-a auzit la ipchains si iptables (sau nu m-am prins eu

) iar la smoothwall desi scrie in documentatie ca e bazat pe iptables nu a reactionat deloc la DROP pe FORWARD, INPUT...nada.Cert este ca am luat tot forumul de la www.linux.ro de la cap la coada si toate comenzile pt iptables de restrictionare a accesului pe care le-am gast nu au avut nici un succes.
Concluzie : cau soft care sa faca nat, relativ usor de configurat, acces neaparat numai la cei cu MAC-uri autorizate si sa mearga pe compul asta.
Multumesc

djlyon · 21-03-2003, 16:48

Pe Linux se face foarte simplu, si nu cu ipchains/iptables.
Creezi fisierul /etc/ethers in care scrii IP-ul si MAC-ul, astfel incat sa arate asa:
192.168.0.2 00:FF:FF:00:AA:C0
192.168.0.3 00:FF:FF:00:BB:AD

Dai arp -f, si gata!
Pentru mai multe explicatii, man arp.
Bafta !

Sylvester · 21-03-2003, 22:30

Hmm eu incercasem arp -s ip MAC cu care legam un ip de MAC dar atat nu inpiedica alte compuri. Inteleg ca doar ip/MAC-urile din ethers vor avea acces ? Oricm voi incerca.

Sylvester · 22-03-2003, 00:03

Ok am citit manualu si acolo scrie ca e similar cu "-s"...
Am creeat acel fisier si tot ce face e sa verifice daca ip-ul corespunde cu MAC-ul din lista, daca nu corespund serveru e "mort" pt acel utilizator. Insa oricine alticineva care nu exista in lista poate accesa netu nestingherit

.Probabil asta ar fi mers daca softuletu (smoothwall) m-ar fi lasat sa dau acces doar la anumite ip-uri , dar... nu exista optiunea asta.
Gresesc undeva?

~~dandu~~ · 22-03-2003, 06:28

dar hai sa zicem ca ai facut in /etc/ethers maparea ip : mac ... cu iptables ai dat DROP la pachete care vin de la alte ipuri decat cele din /etc/ethers ...
daca una din masinile cu unul din macurile din lista isi pune un alt ip si el tot in acc lista dar alocat in lista altei masini care in acel moment e down ce se intampla ?
iptablesu nu zice nimic forwardeaza ... dar din moment ce nu exista o mapare in ethets echivalenta cu combinatia ip mac a masinii pachetele mai sunt forwardate ?

djlyon · 22-03-2003, 08:22

Quote:

Originally posted by Sylvester
Insa oricine alticineva care nu exista in lista poate accesa netu nestingherit

Vezi tu, in /etc/ethers poti sa scrii doar IP-urile din aceleasi subnet-uri cu serverul respectiv.
Deci daca ai un subnet de 8 IP-uri sa zicem, le pui pe toate 8 in /etc/ethers si gata, i-ai "strans" rau de tot.
Daca isi ia alt IP, din alt subnet, nu ii va merge oricum Internetul, fara sa aiba legatura cu MAC-urile. Nici macar nu apuca sa aiba legatura cu MAC-ul.

djlyon · 22-03-2003, 08:29

Quote:

Originally posted by dandu
[B]dar hai sa zicem ca ai facut in /etc/ethers maparea ip : mac ... cu iptables ai dat DROP la pachete care vin de la alte ipuri decat cele din /etc/ethers ...

Deja nu mai este necesar iptables (cred, mai mult ca sigur) ca asta "intra" dupa arp).

[quote]daca una din masinile cu unul din macurile din lista isi pune un alt ip si el tot in acc lista dar alocat in lista altei masini care in acel moment e down ce se intampla ?[quote]
Nu prea am inteles, vrei sa spui ce se intampla daca alta masina isi schimba si IP-ul si MAC-ul ? Pai este diferenta doar pentru tine ca persoana, ca stii asta, dar de vreme de exista o "autentificare" - sa-i zic asa - pe baza pe MAC:IP, si autentificarea asta se face cu success, din punct de vedere al serverului totul este OK. El nu are cum sa-si dea seama ca este alta masina.

Quote:

dar din moment ce nu exista o mapare in ethets echivalenta cu combinatia ip mac a masinii pachetele mai sunt forwardate?

Nu. Nici nu ajung la nivel de forward, pentru ca nu apuca sa intre in chain-ul de input.

Disclaimer: Aici s-ar putea sa gresesc din necunostinta de cauza, lucrurile s-au schimbat de la ipchains la iptables, s-a schimbat un pic si treaba cu chains-urile de input, forward, output, mai cautati si voi pe net

Sylvester · 22-03-2003, 22:44

Quote:

Originally posted by djlyon
Deci daca ai un subnet de 8 IP-uri sa zicem, le pui pe toate 8 in /etc/ethers si gata, i-ai "strans" rau de tot.

Man detalii detalii pls

Subnet de 8 ip-uri ? Ce e si Cum.
Faza cu iptables si DROP am mai dat-o si sper sa nu fi gresit sintaxa dar, dandu , cum dau eu drop la pachetele care vin de la alte ipuri decat cele din /etc/ethers... ?

djlyon · 23-03-2003, 09:50

Quote:

Originally posted by Sylvester
[B]Man detalii detalii pls

Subnet de 8 ip-uri ? Ce e si Cum.

Eah, sufletu', cauta pe net, sau poate iti explica altcineva...

Quote:

cum dau eu drop la pachetele care vin de la alte ipuri decat cele din /etc/ethers... ?

Pai nu dai in nici un fel, daca nu se protiveste IP cu MAC, pachetul nu intra in masina.

Sylvester · 23-03-2003, 23:14

Ok pana la urma i-am dat de cap intr-un mod f alambicat da ce reaku inginer ma fac. Ultima mea intrebare e unde pot pune comanda arp -f incat sa se execute la startup, dupa un restart uita de fisieru ethers...

~~dandu~~ · 24-03-2003, 01:58

/etc/rc.local daca ai slackware sau derivate iar in cazul unui rh sau mdk cauta in /etc/init.d un fisier tot cu numele asta (rc.local) nu mai tin mite clar calea ca nu am mai pus mana pe un rh de multa vreme

**Ivan** · 24-03-2003, 11:47

dandu, ai uitat un rc.d

/etc/rc.d/rc.local

~~dandu~~ · 24-03-2003, 13:31

graba strica streaba nu ?