[LUG.ro] Permitir accesos desde internet a determinadas mac's

Martin Russo lugro@lugro.org.ar
Wed, 28 Nov 2007 16:05:15 -0300


El 28/11/07, Mario Oroz <> escribió:
> Martin Russo escribió:
> > El 28/11/07, Mario Oroz  escribió:
> >> Hola gente;
> >> Quiero permitir acceso a determinadas mac (no dir. ip) que se
> >> quieran conectar a mi firewall.
> >> Las conexiones que queiro permitir son clientes ssh cuya mac conozco.
> > Mario
> >       En el paquete que llegue desde internet no va a contener la mac
> > src del cliente, ya que  eso se va modificando con los saltos del
> > paquete.
> >
> > Todas las tramas ( capa de enlace ) que recibas tendrán la mac source
> > de tu router.
> >
> > Tendrías que implementar otra politica para acotar el acceso.
> > Saludos, Martín Russo
>
> Martin,
>
> Entiendo.
> Es decir recibire siempre la mac source de mi modem adsl, es así?
>
> Te cuento el esenario, uso ssh con autenticación por clave publica,
> para crear un tunel entre un cliente remoto y un server dentro de la lan,
> El server dentro de la lan usa un certificado ssl para autenticarse.
>
> Lo que me queda suelto es el cliente, y pensé que chequeando la mac de
> conexión iba a poder chequear que es el cliente que conozco!!! me explico.

Clientes remotos con acceso al servdior de tu LAN estableciendo una
VPN ? puede asegurar la "autenticidad" del mismo.
De esa manera evitas abrir el acceso ssh en internet, y permitis
acceso ssh solo a usuarios de la vpn ( las reglas se aplicaran sobre
la interfaz virtual del tunel )


Otra posibilidad es la técnica "Knock" , que tendrías que investigar
ya que no tengo idea como se implementa sobre GNU/Linux, pero la idea
es la siguiente

Cliente solicita conexión a distintos puertos ( flag SYN ) , suponete
puerto 8000 / 8032 / 3301 en ese orden, y por lo tanto el firewall
abre el puerto ssh para ese cliente remoto, este metodo te va a ser
más práctico supongo.

Dejo un link para que te ayude

http://gentoo-wiki.com/HOWTO_Port_Knocking

>
> Que políticas podrias sujerirme, que se te ocurre?
> No puedo usar certificados de cliente porque no es una aplicacion web.
>
> Mario.

Saludos,Martín Russo