N'autoriser qu'une liste d'adresses mac

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

N'autoriser qu'une liste d'adresses mac

Messagepar fgingat » 05 Oct 2005 12:19

Bonjour à tous .....

Ceci est mon premier post et je vous avouerais que j'ai effectué une recherche sur le forum sans grande reponse à une question simple =

Puis je indiquer a IpCop qu'il n'autorise les connections qu'à partir d'une liste d'adresse mac ??

Autrement dis je souhaite que seul mes clients connus sur mon lan ais acces à la connection du routeur ...

Merci d'avance à tous et bonne journée
fgingat
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 05 Oct 2005 12:14

Messagepar Zimt » 05 Oct 2005 12:52

Zimt
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 24 Sep 2005 20:52

Messagepar fgingat » 05 Oct 2005 14:20

Merci bien Zimt ...


cela a parfaitement l'air de convenir à la situation ...

à charge de revanche je l'espere :p
fgingat
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 05 Oct 2005 12:14

Messagepar guerinp » 06 Nov 2005 02:48

Bonjour,

J'avoue ne pas bien comprendre.
Comment peux-tu avoir des clients inconnus sur ton lan ?
Cordialement
Patrice.
Plus ça rate, plus on a de chances que ça marche
(Proverbe Shadok)
Avatar de l’utilisateur
guerinp
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 08 Oct 2004 14:36
Localisation: Crolles

Messagepar Galak6 » 06 Nov 2005 19:24

Moi j'ai un peu le même problème, étant en résidance universitaire, je partage ma connexion avec certain colocataire, donc il y a des switch qui traine un peu partout, pour que tout le monde accède au réseau local, mais en renseignant la passerelle et les DNS, n'importe qui peut accéder à internet, sans que je le sache.

J'ai esseyé BOT mais je n'arrive pas du tout à le configurer car même en autorisant les accès à certaine adresse MAC, la connexion ne fonctionne pas.

J'aimerai pouvoir tout autorisé pour une adresse MAC donné, mais je ne vois pas du tout comment faire :(

Merci
Galak6
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Sep 2005 02:12

Messagepar antolien » 06 Nov 2005 20:56

Sans addon, rien de compliqué.

Si je prend exemple sur ce que j'avais vu :
http://ipcop.hn.org/ipcop-sid/policie.htm
(ça a du changer pour les numéros de ligne)

----------------------------------------------------------

root@ipcop:~ # vi /etc/rc.d/rc.firewall

allez à la ligne " /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT"

Ajoutez un # au début afin de la commenter, ce qui nous donne :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.

Nous allons maintenant éditer un autre fichier, ce qui permet une meilleure lisibilité de vos propres règles :

root@ipcop:~ # vi /etc/rc.d/rc.firewall.local

insérez vos autorisations après la ligne
## add your 'start' rules here

#Comme exemple nous allons autoriser l'adresse mac 48.44.AA.44.44.AA à se connecter .

/sbin/iptables -A FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT


Après avoir entré toutes vos règles, vous pouvez enregistrer et quitter vi (:wq)

Pour appliquer les règles tapez /etc/rc.d/rc.firewall restart (rc.firewall.local est appelé par le rc.firewall)
-------------------------------------------------------

Pour ceux qui n'aiment pas modifier le rc.firewall et passer par 40 règles :

root@ipcop:~ # vi /etc/rc.d/rc.firewall.local
/sbin/iptables -I FORWARD -i eth0 -j DROP
/sbin/iptables -I FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT

-------------------
eth0 étant l'interface GREEN.

perso je trouve plus simple 3 lignes de commandes qu 'un addon ...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Galak6 » 06 Nov 2005 23:05

ha c'est intéressant, merci, il faut que j'esseye ca. Mais pour autoriser à nouveau les adresses MAC que l'on a bloqué, il suffit de mettre en commentaire les lignes ajoutés et décommenté les autres ?

Sinon j'ai trouvé l'addon timelimit qui m'a l'air de fonctionner plutot bien, mais c'est limité à un blocage par heures données.

Merci
Galak6
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Sep 2005 02:12

Messagepar Kali Mero » 08 Nov 2005 12:19

salut,

Pourquoi ne pas utiliser simplement l'interface BLEU en configurant l'ACCES BLEU avec les adresses MAC des machines que tu veux autoriser a accéder au net ?

A+
(\ _ /)
(='.'=) LVM
(")_(")
Kali Mero
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 13 Sep 2004 02:44
Localisation: 07 et 74

Messagepar Galak6 » 08 Nov 2005 14:04

Il faut une 3ème carte réseau dans le pc IPCop pour activé le réseau bleu, mais pourquoi pas ?

Sinon puisqu'on peut autoriser ou non l'accès à internet à partir des adresses MAC avec le réseau BLEU, ne peut-on pas faire celà directement sous le réseau VERT ?

Autrement, si ca fonctionne que sous BLEU, je n'aurai aucun PC relié à VERT, mais tout les ordinateurs reliés à BLEU.

merci
Galak6
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Sep 2005 02:12

Messagepar Kali Mero » 08 Nov 2005 21:38

C'est tout a fait ça !
(\ _ /)
(='.'=) LVM
(")_(")
Kali Mero
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 13 Sep 2004 02:44
Localisation: 07 et 74

Messagepar Galak6 » 09 Nov 2005 01:21

En attendant de recevoir une 3ème carte réseau pour l'IPCop, je me demande si il n'existe pas d'autre distribution de linux qui permette le blocage par adresse MAC d'une facon plus simple et utilisant surtout moins de carte réseau que l'ipcop avec un red+green+blue ?

Une autre question, mon réseau se présente de cette facon :

freebox en 192.168.1.200
relié à la freebox via un switch 3 PC en 192.168.1.1 - 2 - 3 et l'ipcop en 192.168.1.4
derrière l'ipcop 5 autres pc via un switch en 192.168.0.1 à 10 (en dhcp, j'ai prévu plus d'adresse que de pc au cas où)

Maintenant je me demande si il me sera toujours possible de partager des dossiers via windows d'un pc en 192.168.0.x avec les pc en 192.168.1.x ?

Merci encore pour toutes ces réponses
Galak6
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Sep 2005 02:12

Messagepar erreipnaej » 09 Nov 2005 07:34

Bonjour,

Est ce que le DHCP du Green avec des réservations par Mac Address ne solutionnerait pas ton probléme?
Je m'explique:
Tu actives le DHCP sur le Green avec un plage d'IP couvrant le nombre de machines autorisées.
Tu collectes tes Mac Address et tu attribues une IP par Mac Address dans les réservations.
D'une part tu gardes toujours la même IP pour chaque machine et je pense que de cette maniére, tu empéches toute Mac Address inconnue de se connecter.
Ensuite tu colles une régle IpTables pour bloquer toutes les IP libres ou tu joues sur le masque de sous rédeau pour réduire ton réseau.
Il y a le risque de spoofing de Mac Address, mais c'est pas tout le monde qui sait le faire, de plus, il faut connaitre une Mac Address autorisée.
Il faut que je teste ça car j'ai un petit malin (mon fiston, un matelot qui apprend vite) qui me change son IP quand le cron lui coupe l'accés!
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar FuN_KeY » 10 Nov 2005 00:39

Je tiens quand meme a signaler que cette solution n'est pas reelement viable...
Il suffit d'arp-poisonner pour se mettre entre le router et les clients; le router refusera le traffic ce qui aurra l'effet d'une DoS pendant 2 sec... Mais en attendant avec un peu de chance le pirate aura dumper des adresses mac autorisé qu il pourra spoofer.

Si il y a du traffic sur la ligne j'estime que ca prend.... 2 min...
FuN_KeY
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 26 Oct 2004 21:38

Messagepar erreipnaej » 10 Nov 2005 07:10

Bonjour,

Mes connaissances réseau ne sont pas suffisantes et je ne savais pas :-( :?
J'aurais appris quelque chose aujourd'hui!
Merci FuN_KeY.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron