Re: [suse-linux-s] Comando ARP
El Viernes, 2 de Septiembre de 2005 01:15, escribió:
* bueno, estamos hablando de una máquina cualquiera, puede ser linux, windows .... no se debe depender del cliente para realizar este tipo de operaciones.
* Cierto, estas intentado bloquear maquinas no autentificadas, es decir tienes en la red maquinas que hacen lo que les da la gana, El servidor para no depender del cliente ha de ser quien mande en la red, si el cliente puede hacer de su capa un sayo en el hardware de red pues entonces se esta dependiendo del cliente, por tanto a esa maquina si no esta configurada estaticamente se le ha de asignar la ip via dhcp de forma fija y mejor autentificarse en la red, no obstante en los NT tambien existen los scripts de shell, arp es un standard, ademas seguro que hay algun programilla por hay para que haga esto, ahora si estamos hablando de un 9x , pues la unica solucion decente es la comentada al inicio.
* Prueba el ping al broadcast con la opcion -f
* probé ping -bf 192.168.0.63 pero no hace nada
[root@tux root]# ping -bf 192.168.0.63 WARNING: pinging broadcast address PING 192.168.0.63 (192.168.0.63) 56(84) bytes of data.
( Queda en blanco... )
* Ponle un numero de paquetes a enviar, utiliza arping.
* Yo esto lo veo complicarse la vida
* complicarse la vida? porque...
* Vamos a ver, por que no puedes estar persiguiendo una ip volatil por la red para denegarla, la mac ademas se puede cambiar sin ningun problema y eso seria un cachondeo. * Usa la denegacion a nivel de aplicacion y mejor a usuario, con un proxy por ejemplo. * Si quieres tirar de macs, has de asignar la ip a esa maquina estaticamente ya sea via dhcp o manualmente, no obstante insisto en que lo suyo por dar una solucion sencilla, pasa por la autentificacion univoca, por ejemplo de los usuarios en un proxy.
* No bloqueo por mac por que las mac pueden cambiarse no obstante el modulo ipt_mac esta disponible.
* el caso es que tendría que hacer una recompilación del kernel, y pues es imposible hacerlo en esta máquina servidor.
* ejemplo iptables -A INPUT --mac-source (direccion mac) -j DROP iptables -A FORWARD --mac-source (direccion mac) -j DROP
* Ya lo habia probado, pero no me funcionó por falta del módulo.
* Supongo que habras intentado cargarlo, si no es asi cargalo con modprobe y aplica su carga en el inicio en /etc/modprobe.conf.local por ejemplo.
participants (1)
-
jose maria