Acesso remoto controlado por mac address.

[valmicio de pieri]

Olá colegas.
Alguém de vocês ja fez uma regra via iptables por exemplo que libere acesso ts para um mac adress de fora ?
Eu fiz mais ele nao filtra e libera tudo.

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[Noilson Caio]

Olá Valmicio, tudo bom ? Cara, olha só, sendo bem genérico, regra por MAC address é uma particularidade de um segmento de rede privado, vamos dizer assim. Quando você diz de fora, me leva a pensar que é um MAC que vem via WAN, que chamaremos de Internet. Se for, aí complica. Sendo genérico, O MAC da origem, depois de passar por roteamento(s), não será mais o mesmo no destino, ok ?

--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
 
Antes de perguntar:
http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao
 
Para sair da lista envie um e-mail para:
slack-users-b...@googlegroups.com
---
Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users Group - Brazil" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para slack-users-b...@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.

--

Noilson Caio Teixeira de Araújo
https://ncaio.wordpress.com
https://br.linkedin.com/in/ncaio
https://twitter.com/noilsoncaio

https://jammer4.com

http://8bit.academy

[J. Tozo]

exato Noilson, nao vai chegar macddress via WAN, eu sugeriria usar port knocking nesse caso.

Grato,

 Tozo

[Otavio Augusto]

Em 21 de janeiro de 2015 20:34, J. Tozo <juni...@gmail.com> escreveu:
> exato Noilson, nao vai chegar macddress via WAN, eu sugeriria usar port
> knocking nesse caso.

Ou uma VPN IPsec ou PPTP para conseguir acesso

Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br

[valmicio de pieri]

Ótima dica !
Vou de vpn pptp seria a melhor e menos complicada certo ?

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google.

Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para slack-users-b...@googlegroups.com.

Para obter mais opções, acesse https://groups.google.com/d/optout.

[valmicio de pieri]

Ai sim depois de conectar posso controlar pelo mac-source certo ?

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[Otavio Augusto]

Em 21/01/2015 21:05, "valmicio de pieri" <valm...@gmail.com> escreveu:
>
> Ai sim depois de conectar posso controlar pelo mac-source certo ?

Não. A vpn re uma camada a mais de validação.  A não ser que seja uma bridge vpn feita por um roteador antes da máquina cliente, isto presume que as máquinas que vão usar o serviço não sejam móveis.  se a rede que precisa ser valida for um escritório tudo bem.
Uma outra forma de validar a  máquina seria usar vpn openvpn com uma cadeia de certificados. Existe o fato do cara copiar o certificado para outra máquina e instalar o openvpn, mas é mais fácil clonar o MAC doque instalar o openvpn no Windows.

[valmicio de pieri]

Joia
Openvpn já utilizo.
Muito obrigada a todos pelas dicas .
Sucesso pra todos !

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[Max Miorim]

Dependendo do nivel técnico de quem vai usar este acesso remoto, também da para usar um túnel SSH.

Eu não sei como que fica o suporte à isso no windows, acho que o putty deixa fazer coisas equivalentes ao -L e -D.

Isso requer um certo cuidado com o servidor que vai rodar o SSH. Eu acho que o mais fácil é ter um container ou VM dedicado para isso.

[Noilson Caio]

Valeu, cara.

[Raphael Bastos]

Oi,

Túnel SSH dá pra fazer no putty, mas eu prefiro que um usuário use um SSH PROXY mesmo, em qualquer sistema operacional. É beeeeeeeem mais transparente pro usuário, e dá pra ele usar tudo, até SCP via proxy command.

RTFM ---> https://www.nccs.nasa.gov/images/Winscp_v2.pdf

Att,
Raphael Bastos aka Coffnix

====================================================
Linux Reg. User: 388431  //  LPI ID: LPI000214711
email:~> $ echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge'

Public Key: 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt

Yaxkin/Gentoo Linux - http://downloads.hackstore.com.br

Wiki Hackstore - http://wiki.hackstore.com.br

Área 31 Hackerspace - http://www.area31.net.br

Kankin/Funtoo Linux - http://kankin.area31.net.br

====================================================

[valmicio de pieri]

Vou testar Raphael.
Valeu mesmo

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[Raphael Bastos]

Esqueci mano jones, no Linux é bem trivial viu, só criar um arquivo '.ssh/config' no home do usuário com o seguinte conteúdo:

Host plex

    HostName 187.115.4.23

    User root

    ForwardAgent yes

    Port 22

    ProxyCommand ssh cof...@192.168.12.50 netcat %h %p

Att,
Raphael Bastos aka Coffnix

====================================================
Linux Reg. User: 388431  //  LPI ID: LPI000214711
email:~> $ echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge'

Public Key: 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt

Yaxkin/Gentoo Linux - http://downloads.hackstore.com.br

Wiki Hackstore - http://wiki.hackstore.com.br

Área 31 Hackerspace - http://www.area31.net.br

Kankin/Funtoo Linux - http://kankin.area31.net.br

====================================================

[Max Miorim]

Eu não sei se o cliente deixa configurar o proxy SOCKS, as vezes funciona com algo que deixe interceptar a conexão e forçar que ela passe pelo proxy, mas nem sempre é assim.

E eu também acho o túnel mais transparente no sentido de que o cliente continua funcionando com a configuração padrão, o que muda é o endereço de conexão.

Se for acesso à um TS/VNC, por exemplo, dá para usar o cliente exatamente da mesma forma, tanto quando se esta na LAN quanto quando se está fora. Numa "liga" o proxy e usa um endereço e na outra, outro endereço sem proxy. Faz sentido?

[Marcos Tadeu]

Além disso, com OpenVPN com certificado, se o certificado for copiado, só uma estação estará na VPN por vez. E  vai ser fácil ver nos logs a disputa pela conexão com mesmo certificado e por IPs origens diferentes. No time-out padrão, a cada dois minutos a outra estação volta. Na média, uma troca por minuto. Fácil ver.
Ai, é só revogar o certificado e criar um novo certificado para a estação oficial, instalar, instaurar sindicância e punir os culpados pela cópia não autorizada ! rs
O certificado pode ter senha. É chato pois tem que digitá-la a cada inicio do cliente.

E, mais, você ainda ganha a possibilidade de ter IP fixo e regras de roteamento e firewall independentes para cada certificado. Enfim, controle total.

Com MAC, você nunca vai saber que clonaram, a não ser por dedicação total a monitoração, scripts para tentar detectar alteração de MAC/IP em curto prazo de tempo...

E fuja do lixo PPtP...

Ah... os cursos de Linux/redes/segurança estão voltando, na UFF (www.telecom.uff.br). Divulguem, please ;) Alguns dinossauros aqui começaram por lá. E, claro, prática principal no slackware, com menção aos demais.
Afinal de contas, quem se inicia no Linux/Unix com o slack, domina qualquer outra distro, fácil. Já o inverso...

[Raphael Bastos]

Oi,

Qual VPN vc indica pra windão como alternativa ao PPTP marcos tadeu jones?

Abs.

Att,
Raphael Bastos aka Coffnix

====================================================
Linux Reg. User: 388431  //  LPI ID: LPI000214711
email:~> $ echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge'

Public Key: 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt

Yaxkin/Gentoo Linux - http://downloads.hackstore.com.br

Wiki Hackstore - http://wiki.hackstore.com.br

Área 31 Hackerspace - http://www.area31.net.br

Kankin/Funtoo Linux - http://kankin.area31.net.br

====================================================

[Noilson Caio]

tem gente que usa ppp em um túnel ssl = sstp

[Noilson Caio]

só que é para windows < - > windows

[Marcos Tadeu]

OpenVPN... Com server em linux, claro.
Quer colocar server no windows? por que esse disparate? Mas funciona também.
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide

Já tem até alguém com um instalador que você monta um install.exe desses com o programa, certificados e config. Não achei o link...
Instalou, subiu...
A menos do fato da instalação ter que ter poder de admin, claro.
Tem cliente para MAC e android. Então dá para fazer um serviço bonito e bem documentado.

O bacana é poder listar vários servidores no cliente, e ele fica procurando. Se cair depois de conectado, vai tentar outro.
Até servidor com IP dinâmico com DNS dinâmico funciona. Tá maluco? não! Quando o link principal cai, um adsl de redundância quebra um galhão, se bem configurado, com QoS para o upstream. Melhor um ou dois mega de subida, do que nada.

Fazemos umas brincadeiras deste tipo, com ele vários servers e dns dinâmico, no curso de redes;

Abcs,

[Noilson Caio]

Em tempos remotos instalava um tal de untangle e deixa ele apenas com o módulo do openvpn. A distribuição de chaves e gerenciamento de usuários era bem amigável. Não sei como anda este projeto hoje em dia.

[valmicio de pieri]

Show marcos !

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[valmicio de pieri]

Só para troca de experiências.
Aqui no sul tem uma empresa de cartão de crédito por internet  (TEF ) que usa openvpn nos clientes.
E é homologado tudo certinho.
E tem redes de lojas como clientes de nível nacional.

Atenciosamente;

Valmicio de Pieri
Vtech Soluções em T.I.
www.vtechsolucoes.com.br
9922.1764
9159.8585

[Raphael Bastos]

Nó mano jones, me passa essa solução ae de install pro openvpn client pra windão por favore, pq eu só uso windão com pptp com server pptpd rodando em Linux. :D

Att,
Raphael Bastos aka Coffnix

====================================================
Linux Reg. User: 388431  //  LPI ID: LPI000214711
email:~> $ echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge'

Public Key: 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt

Yaxkin/Gentoo Linux - http://downloads.hackstore.com.br

Wiki Hackstore - http://wiki.hackstore.com.br

Área 31 Hackerspace - http://www.area31.net.br

Kankin/Funtoo Linux - http://kankin.area31.net.br

====================================================

[Otavio Augusto]

Rafael no site oficial do openvpn [1] tem o download para cliente e
server windows.

1 - http://openvpn.net/

Em 23 de janeiro de 2015 09:33, Raphael Bastos
<raphae...@hackstore.com.br> escreveu:

[Raphael Bastos]

Boa!

Att,
Raphael Bastos aka Coffnix

====================================================
Linux Reg. User: 388431  //  LPI ID: LPI000214711
email:~> $ echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge'

Public Key: 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt

Yaxkin/Gentoo Linux - http://downloads.hackstore.com.br

Wiki Hackstore - http://wiki.hackstore.com.br

Área 31 Hackerspace - http://www.area31.net.br

Kankin/Funtoo Linux - http://kankin.area31.net.br

====================================================