-
Liberar o MSN por MAC
Boa Tarde,
Possuo no meu iptables as regras abaixo para bloqueio do MSN:
iptables -A FORWARD -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
Preciso liberar o acesso de algusn endereços MAC ao MSN, tentei fazer da seguinte maneira:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -p tcp --dport 1863 -j ACCEPT
POrém não liberou, o notebook não conecta ao MSN.
A regra está errada?
-
Primeiro, precisamos saber como está sua politica de acesso, e a ordem das regras. Cola suas regras com iptables -nvL aqui.
Dica: Para ter um êxito no bloqueio do msn via iptables, sugiro que você recompile o kernel com suporte ao layer7.
-
netserver:~# iptables -nvL
Chain INPUT (policy ACCEPT 45M packets, 33G bytes)
pkts bytes target prot opt in out source destination
878K 49M ACCEPT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
19 4267 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6881:6999
Chain FORWARD (policy ACCEPT 26M packets, 14G bytes)
pkts bytes target prot opt in out source destination
3859 4936K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 1723,1701
15 1642 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 1723,1701
0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
985 41272 DROP tcp -- * * 0.0.0.0/0 207.46.0.0/16 multiport dports 80,443
3825 193K DROP tcp -- * * 0.0.0.0/0 65.54.0.0/16 multiport dports 80,443
0 0 DROP tcp -- * * 0.0.0.0/0 65.54.0.0/16 multiport dports 80,443
2014 105K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
45 2204 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
0 0 DROP all -- * * 0.0.0.0/0 213.248.112.0/24
44 2152 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214
144 6944 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346
0 0 ACCEPT tcp -- * * 0.0.0.0/0 207.46.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 65.54.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 65.54.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:xx tcp dpt:1863
Chain OUTPUT (policy ACCEPT 46M packets, 34G bytes)
pkts bytes target prot opt in out source destination
721 508K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:6881:6999
-
Pois bem amigo, como seu List do iptables mostra, você está bloqueando todo acesso ao msn primeiro e depois liberando quem você quer liberar, porem entenda que o firewall segue a regra da lista, ou seja, quando ele passar pela cadeia forward, a primeira coisa que ele vai ver é o bloqueio, e quem estiver depois do bloqueio, liberado ou não estará bloqueado. Mude as regras de lugar, coloque as que liberam os macs primeiro, e depois coloque as que bloqueiam, ou troque -A por -I atualmente aonde estão as regras de liberação.
att,
-