[HACK] Control IPs: Inventario

RoMaN SoFt / LLFB roman at madrid.com
Mon Oct 8 19:56:33 CEST 2001


On Mon, 8 Oct 2001 10:53:15 +0200, you wrote:

>Los puertos del switch los capas por mac, solo aquellas que esten dadas de 
>alta a mano podran tener conectividad.
>
>El problema de esta solucion es el equipamiento, con Cisco y Fore se puede 
>hacer no conozco el resto de las marcas, aunque es realmente trivial, deberia 
>poderse hacer en todas.

 Mi opción favorita es la siguiente:
- montas una máquina no demasiado potente con un Linux 2.4, y la usas
como gateway de salida a internet. A esta máquina le pones 2 NICs: por
ejemplo, 192.168.0.1 y 192.168.200.1. Por tanto, esta máquina está
separando 2 subredes: la 0.x y la 200.x. La 0.x asumo que es tu LAN.
En la 200.x colocas todos los "cacharros" que dan realmente acceso a
Internet: routers ADSL, routers RDSI, etc.
- lo enchufas si quieres todo al mismo switch, pero creándote 2 VLANs
diferentes, de forma que aisles ambos segmentos de red (0.x y 200.x).
- a partir de ahi TODO el tráfico de salida a Internet (o de entrada)
pasará obligatoriamente por esta máquina Linux, con las ventajas que
eso conlleva:
a) Puedes colocar un squid en modo transparente en la máquina, con lo
cual consigues más eficiencia y ahorro de ancho de banda
b) Puedes sniffar y/o controlar TODO el tráfico de internet sin tener
que tocar nada en el switch
c) Puedes filtrar a tu antojo
d) En particular, con iptables tendrás una flexibilidad tremenda: para
el caso que pides podrías filtrar por dirección MAC. Esto te da máximo
control, ya que si te basas estrictamente en IP y por ejemplo me
deniegas a mi la salida a Internet yo siempre podría coger mi ordenata
y forzar a que use una IP distinta, de aquellas que se que sí está
autorizada para salir a Internet
e) Puedes montar un rutado avanzado y/o hacer traffic shapping, jugar
con ip route, etc

 En fin..  you have the power :-)

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
    ** RoMaN SoFt / LLFB **  
       roman at madrid.com
   http://pagina.de/romansoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



More information about the hacking mailing list