Versão Imprimível
Pessoal.. eu tenho um servidor linux.. que atua como um roteador entre a rede privada e a internet..
Então eu mudei a política da Chain FORWARD para DROP para que eu posso liberar apenas mac address específicos da rede com o seguinte comando:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
no entanto isto não funcionou.
Alguém poderia me ajudar com esta tarefa ??
Desde já agradeço a ajuda da comunidade!!
cara, vc precisa antes mudar tua politica de forward para DENY (isso se tiver td configurado certinho mesmo)
abraços
ok edyn.. mas as políticas das Chain aceitam apenas DROP e ACCEPT a opções DENY não é aceita.
Fico no aguardo.. um abraço!!
Marcos, eu acho mais fácil você fazer isso via proxy.
Além desse filtro por MAC, você pode fazer vários outros.
Daria pra você fazer com proxy transparente e uma ACL liberando apenas os hosts que tiverem os MAC´s cadastrados.
Abraços
cara..
se vc estiver usando um proxy, a opção de bloqueio por FORWARD poderá não funcionar perfeitamente, pq os clientes ao passarem pelo proxy não cairão na regra, então você conseguirá bloquear tudo, menos o q passa pelo proxy...
valeu
Use da maneira que segue abaixo e vc nao tera mais problemas, apenas os macs cadastrados por vc serao aceitos os demais negados, e so isso simples como o povo, se quiser fazer pela tabela arp ou pelo squid tambem da e so me dar um toque, porem pelo iptables acredito que sera melhor.
# Carregando modulos necessarios
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera as chains existentes
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Definindo política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Permissões de acesso ao firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Liberando acesso aos macs cadastrados
# gatoseco
iptables -t filter -A FORWARD -d 0/0 –s 200.x.x.13 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t filter -A FORWARD -d 200.x.x.13 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s200.x.x.13 -d 0/0 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t nat -A POSTROUTING -s 200.x.x.13 -o eth1 -j MASQUERADE
#Ativa roteamento via kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Fechando o resto
iptables -A INPUT -j DROP
Que legal voltar a postar no forum fazia tempo que eu andava meio sumido sem falar nenhuma bobagem !!! hehehe
Abraçao
amigo, procure por "Carlos Eduardo Langoni" "bloqueio por MACaddress" no google. vc vai achar um script bastante interessante!! abraco!