-
Limitar IP válido
Bom dia
Tenho uma dúvida que tem me tirado o sono, e como sei que aqui existem vários administradores de provedores wirelles gostaria de compartilhar e saber o que vcs tem feito para resolver a questão de limite de download e upload para clientes com IPs válidos, hoje consigo atribuir os IPs usando em Linux em modo Bridge, porém as regras do CBQ e tbm do iptables para amarrar o IP ao MAC não funcionam, se jogo as mesmas regras através de NAT funciona normal, porem ai não consigo repassar os IPs válidos. Toda ajuda e comentário é benvindo.
-
Re: Limitar IP válido
Posta as configuraçoes que vc usa com iptables !!!
Abraçao
-
Re: Limitar IP válido
/usr/sbin/iptables -t nat -A POSTROUTING -s 200.x.x.13 -j MASQUERADE
/usr/sbin/iptables -A FORWARD -s 200.x.x.13 -m mac --mac-source 00:0e:2e:76:28
/usr/sbin/iptables -A FORWARD -d 200.x.x.13 -j ACCEPT
-
Re: Limitar IP válido
Vamos por partes entao, para resolver o problema do mac address faça o seguinte:
# Carregando modulos necessarios
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera as chains existentes
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Definindo política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Permissões de acesso ao firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Liberando acesso aos macs cadastrados
#
# gatoseco
iptables -t filter -A FORWARD -d 0/0 s 200.x.x.13 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t filter -A FORWARD -d 200.x.x.13 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 200.x.x.13 -d 0/0 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t nat -A POSTROUTING -s 200.x.x.13 -o eth1 -j MASQUERADE
#Ativa roteamento via kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Fechando o resto
iptables -A INPUT -j DROP
Com o exemplo que segue acima voce fara o controle por mac address usando iptables, testa ai e depois veremos o restante dos problemas.
Abraçao
-
Re: Limitar IP válido
muda a topologia da sua rede.. colocar em bridge fica "perigoso" alguem "roubar" o ip do teu router...
quebre sua classe de ip em 2 partes..
a primeira parte vc usa nos servidores e maquinas em contato DIRETO com o roteador (no mesmo switch por ex).. a segunda parte vc "passa para dentro" da sua rede..
adicionando uma rota padrao estatica para a segunda classe no seu router.. apontando para o ip do seu servidor (o primeiro ip da primeira classe)...
ai eh soh subir o primeiro ip da segunda classe na interface INTERNA... e no cliente.. os proximos ips.. e o gateway no cliente sendo o ip q vc subiu na interface INTERNA
assim:
seu bloco: 200.200.200.0/24
no router:
200.200.200.0/25
200.200.200.128/25 rota padrao 200.200.200.1
servidor eth0: 200.200.200.1
servidor eth1: 200.200.200.129
cliente1: 200.200.200.130 gw 200.200.200.129
cliente2: 200.200.200.131 gw 200.200.200.129
...