Filtrar SSh por MAC

Rodrigo Fuentealba the.code.keeper en gmail.com
Jue Oct 9 21:35:54 CLT 2008 

El día 7 de octubre de 2008 19:25, César Sepúlveda
<cesar.sepulveda.b en gmail.com> escribió:
> On Tuesday 07 October 2008 10:32:16 Larry Letelier N. wrote:
>> El 7 de octubre de 2008 0:25, José Palacio <josepalacio en gmail.com> escribió:
>> > Gracias por sus respuestas.
>> >
>> > Me parece bastante interesante eso del Port Knocking, no conocia el
>> > sistema,
>> > pero estoy investigando y me llamó la atención, voy a implementarlo para
>> > ver
>> > como trabaja.
>> >
>> > El 6 de octubre de 2008 21:53, Cristian Saavedra <igsleipner en gmail.com
>> >
>> > >escribió:
>> > >
>> > > El 6 de octubre de 2008 16:28, José Palacio <josepalacio en gmail.com
>> > >
>> > > >escribió:
>> > > >
>> > > > Hola a todos
>> > >
>> > > Hola
>> > >
>> > > > Tengo un pequeño problema con el servicio SSH ya que debo
>> > > > configurarlo
>> > >
>> > > para
>> > >
>> > > > que sólo permita conectarse a dos direcciones ip la interna de mi
>> >
>> > equipo
>> >
>> > > en
>> > >
>> > > > la empresa y la de mi casa, la de mi equipo interno está lista, pero
>> > > > en
>> > >
>> > > mi
>> > >
>> > > > casa la ip es dinámica, así que para poder configurarlo necesitaría
>> > >
>> > > hacerlo
>> > >
>> > > > por la mac del router, pero no he encontrado como hacerlo, se que
>> > > > puedo hacerlo por IPTables restringiendo el puerto 22 y permitienso
>> > > > sólo el acceso
>> > > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer
>> > > > por SSH.
>> > >
>> > > Tengo entendido que desde la lan se podria hacer una autenticacion via
>> >
>> > mac
>> >
>
>> > > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al
>> > > servidor.
>> > >
>> > > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres
>> > > es restringir el acceso a la maquina de cualquier otro individuo que no
>> > > seas tu.
>> > >
>> > >
>> > > Salu2
>> > >
>> > >
>> > > Cristian Saavedra Miño
>> > > Estudiante Ingenieria Ejecucion Informatica
>> > > Pontificie Universidad Catolica de Valparaiso
>>
>> enjoy ;-)
>>
>> iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
>> 00:11:22:33:44:55 -j ACCEPT
>
> Imposible bloquear por mac, si no se encuentran en la misma red.
>
> la mac de la NIC de tu casa, al pasar por el primer router, se pierde.

Para una prueba práctica:

Suponiendo que tienes muchas conexiones abiertas en una red. Haces
ping a http://mail.google.com/

Luego, ip neigh show no te muestra más que:

root en nosferatu:/home/thecodekeeper/Desktop/impress-05# ip neigh show
192.168.0.1 dev wlan1 lladdr 00:00:00:00:00:00 REACHABLE

Sólo puedes conocer las MAC de tus vecinos. Y por si las moscas,
cambié la MAC a puros ceros :P

-- 
Rodrigo Fuentealba
http://www.thecodekeeper.net/

Más información sobre la lista de distribución Linux