Ipguard disponível para pfsense
-
Senhores,
Já esta disponível na lista de pacotes o ipguard, uma excelente ferramenta para controle e ips e macs no mesmo segmento de rede.
Exemplo do arquivo de configuração com comentários:
00:d0:b7:df:ee:4a 192.168.1.100 Third column is a comment
00:d0:b7:16:0b:f9 192.168.1.64
00:d0:b7:16:0b:f9 192.168.1.66 There can be more than one IP
00:00:21:e9:fe:9a 192.168.2.56
00:08:c7:eb:22:6c 192.168.2.56 Also more than one MAC
192.168.16.147 00:04:76:18:a0:b9 Order doesn't matter
00:00:00:00:00:00 192.168.50.163 Zero MAC == any MAC
00:0d:61:76:ef:eb 0.0.0.0 Zero IP == any IP
00:02:b3:60:50:9c 127.0.0.1 Known wrong IP == MAC blocked
00:0f:5b:83:30:0a host.domain.tld Hostnames resolved
00:00:00:00:00:00 192.168.4.0/24 Allow subnet
de:ad:be:ef:12:34 192.168.0.0/16 Block all other subnets00:0c:6e:a0:f6:6d 192.168.1.254 Comment
post da sugestão aqui no forum em portugues:
http://forum.pfsense.org/index.php/topic,45215.msg235734.html#msg235734att,
Marcello Coutinho
-
Show of ball marcelloc!
Devem haver pelo menos uns 500 posts no fórum questionando sobre maneiras de se "amarrar" IPs aos seus respectivos MACs. Aí está mais uma forma "elegante" de fazê-lo! ;)
Abraços!
Jack -
Parabens marcelo,
fiquei na dúvida.. qual seria a verdadeira utilidade em termos práticos ??.
-
fiquei na dúvida.. qual seria a verdadeira utilidade em termos práticos ??.
Usando as palavras do desenvolvedor da ferramenta:
ipguard listens network for ARP packets. All permitted MAC-IP pairs
listed in 'ethers' file. If it recieves one with MAC-IP pair, which is
not listed in 'ethers' file, it will send ARP reply with configured
fake address. This will prevent not permitted host to work properly in
local ethernet segment.Usando minhas palavras:
Esta ferramenta impede que maquinas não autorizadas "roubem" ips de outras maquinas.att,
Marcello Coutinho -
Pode até dificultar.. mas com certeza não vai impedir..
-
Pode até dificultar.. mas com certeza não vai impedir..
Porque não? ??? Arp é a base para a localização do ip na rede.
Instala ele e tenta roubar o ip de um servidor de teste por exemplo. ;)
-
Pode até dificultar.. mas com certeza não vai impedir..
Porque não? ??? Arp é a base para a localização do ip na rede.
Instala ele e tenta roubar o ip de um servidor de teste por exemplo. ;)
Repito.. não vai impedir.. qualquer dúvida vide BackTrack..
-
Repito.. não vai impedir.. qualquer dúvida vide BackTrack..
Eu conheço o backtrack, o ipguard usa o processo inverso para proteger a rede.
Enfim, Teorias a parte, a ferramenta está ai e é muito boa. Fiquei sem acesso algumas vezes até acertar a configuração.
att,
Marcello Coutinho -
Pois é marcelo,
como eu falei antes, pode até dificultar.. mas não vai impedir completamente.
Já fiz alguns testes com ferramentas similares que usa este mesmo conceito..
-
estou amarrando via DHCP! Devo continuar ou passar para o ipguard?
-
estou amarrando via DHCP! Devo continuar ou passar para o ipguard?
Amarra via dhcp e via ipguard.
Já tinha pensado em integrar o pacote com o dhcp mas preciso estudar isso melhor.
Configurando os dois, você além de entregar o ip certo para a maquina, você impede que outras maquinas tentem usar o ip do diretor por exemplo quando ela estiver desligada.
Lembrando que esta configuração funciona para maquinas no mesmo segmento de rede.
att,
Marcello Coutinho -
Interessante esse pacote, só tenho dúvida. O meu DHCP não é no Pfsense é no windows server. Posso usar esse pacote sendo assim, ou o DHCP tem que ser no Pfsense?
Abraços.
-
Interessante esse pacote, só tenho dúvida. O meu DHCP não é no Pfsense é no windows server. Posso usar esse pacote sendo assim, ou o DHCP tem que ser no Pfsense?
o IPGuard é independente do DHCP Server, conforme o marcelloc postou acima.
Pense no IPGuard como um "plus" ao DHCP Server. Como já foi dito aqui, a função dele é rodar sobre enlaces de um mesmo segmento de rede ou, em outras palavras, "impedir que maquinas não autorizadas roubem ips de outras maquinas". Neste sentido, ele pode rodar perfeitamente em um servidor diferente do DHCP Server!
Abraços!
Jack -
Não olhei nada sobre o ipguard mas se a função dele for só amarrar o MAC ao IP, acho desnecessário; com a opção
Enable Static ARP entries
Note: Only the machines listed below will be able to communicate with the firewall on this NIC.do DHCP eu já consigo amarrar o IP, se eu trocar o IP pra um diferente do q está na entrada estática, não consigo navegar.
-
Seus servidores estão listados lá também?
você consegue liberar por exemplo a faixa do wifi/rede guest lá?
Se o usuário A colocar o ip do usuario B para acessar o msn, o static arp já bloqueia?
-
Seus servidores estão listados lá também?
sim..
você consegue liberar por exemplo a faixa do wifi/rede guest lá?
só tenho uma faixa de rede, não sei te dizer.
Se o usuário A colocar o ip do usuario B para acessar o msn, o static arp já bloqueia?
Não fiz esse teste, so tentei acessar um site e bloqueou. Se quiser posso tentar depois.
Mas posso te garantir que com o static arp ativado e seu ad fora da lista, vc não consegue autenticar o usuário no proxy. Passei por esse filme de terror agora. -
Então,
A ferramenta é boa, para o dhcp traz mais opções como mac liberado, faixa de ip e etc….
-
Boa tarde.
Uma duvida.
Sempre que cadastro o MAC tambem tenho que colocar a faixa de rede?
Agradeço -
Boa tarde.
Uma duvida.
Sempre que cadastro o MAC tambem tenho que colocar a faixa de rede?
Agradeçosim, nem que seja 0.0.0.0 para permitir qualquer ip neste mac.
O único help/tutorial disponível do ipgurad está no primeiro post deste tópico, veja os exemplos que ele dá.
