proxy transparente e controle de mac address
olá pessoal, é o seguinte:
Uso na mesma maquina proxy transparente e controle de mac address,
como segue abaixo:
iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.
obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.
proxy transparente e controle de mac address
Rogerio
tenta bloquer o acesso ao INPUT também
pq o que está acontecendo, é que quando você coloca proxy transparente, o processo não é feito via FORWARD (encaminhamento de uma estação para fora) e sim via INPUT (estação até o proxy) tanto que se você fizer um teste de ip
o ip acessado na página, é o do servidor proxy
então você terá de negar o acesso ao seu servidor
ou seja
iptables -A INPUT -mac --mac-source .....
bom, acho que é isso
entendo muito pouco de iptables (ou seja, se estiver errado é pq sou burro mesmo), mas acho que isso deva funcionar
[]'s
Robson
Re: proxy transparente e controle de mac address
Citação:
Postado originalmente por rogeriobenvindo
olá pessoal, é o seguinte:
Uso na mesma maquina proxy transparente e controle de mac address,
como segue abaixo:
iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.
obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.
Cara, acho o q vc quer nao vai funcionar. Se eu nao estou enganado a filtragem de PREROUTING eh executada antes da filtragem de FORWARD.
Outra coisa, se seu squid estiver na mesma maquina do firewall o MAC q esta sendo indetificado pelo iptables e o MAC do servidor e nao dos clientes.
Explicando melhor passo a passo o processo:
1) o cliente manda a requisicao para o firewall/proxy
2) o firewall troca a porta 80 peloa 3128
3) o squid le tudo na porta 3128, filtra, faz cache, etc
4) o squid troca de porta 3128 para 80 e manda a requisicao ao gateway
5) o firewall/gateway recebe a requisicao, manda para o FORWARD, faz o NAT.
6) a requisicao eh respondia ao squid e ai vem o processo inverso
Entao, ate o fim da etapa 4 nenhum MAC foi enviado ao FORWARD do iptables e na etapa 5 quem fez a requisicao foi o squid (com o MAC do servidor)
Agora eu te pergundo... o q vc quer bloquer/liberar por MAC, so navegacao pela web ou toda a internet???
dependendo do q vc quer fazer existem algumas alternativa para vc controlar isso atraves do OUTPUT.
[] Dotta :twisted:
proxy transparente e controle de mac address
Citação:
Postado originalmente por erroneous
Rogerio
tenta bloquer o acesso ao INPUT também
No INPUT nao vai funcionar... o INPUT eh tudo q vem da internet e entra para seu rede, de forma simplificada. O controle tem q ser por FORWARD ou OUTPUT. O q vc vai usar para controlar isso depende de como esta sua estrutura.
[] Dotta :twisted:
proxy transparente e controle de mac address
amigo, conform um outro post aqui no under, vc pode controlar/amarrar ips com mac através de um arquvo /etc/ethers onde vc cria uma lista:
192.168.1.2 00:00:00:00:00:00
192.168.1.3 00:00:00:00:00:00
Depois vc roda o comando:
arp -f /etc/ethers
e para o proxy transparente vc aplica suas regras normalmente... derepente vc pode criar as regras por IP:
iptables -t nat -A PREROUTING -s 192.168.1.2 -p tcp --dport 80 -j REDIRECT --to-port 3128