Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Olhando o arquivo com calma observeri essa parte da regra
    Código :
     echo "1" > /proc/sys/net/ipv4/ip_forward
    MACLIST_LIB="/root/scripts/maclist_lib"
     
    for i in `cat $MACLIST_LIB`; do
    MACSOURCE=`echo $i | cut -d ';' -f 1`
    iptables -t filter -A FORWARD -d 0/0 -i $Cid -m mac --mac-source
    $MACSOURCE -j ACCEPT
    iptables -t filter -A INPUT -i $Cid -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    done
     
    iptables -t nat -A POSTROUTING -s 10.0.0/8 -o $Wan -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o $Wan -j MASQUERADE
     
     
        echo "NAT - Internet Hab ............ [OK]"

    No for esta liberando forward e input no server, mas embaixo libera o masquerade para todos portanto essas regras não estão entrando em conflito?
    Última edição por oicreal; 08-10-2009 às 15:33. Razão: atenção

  2. Citação Postado originalmente por oicreal Ver Post
    Olhando o arquivo com calma observeri essa parte da regra
    Código :
     echo "1" > /proc/sys/net/ipv4/ip_forward
    MACLIST_LIB="/root/scripts/maclist_lib"
     
    for i in `cat $MACLIST_LIB`; do
    MACSOURCE=`echo $i | cut -d ';' -f 1`
    iptables -t filter -A FORWARD -d 0/0 -i $Cid -m mac --mac-source
    $MACSOURCE -j ACCEPT
    iptables -t filter -A INPUT -i $Cid -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    done
     
    iptables -t nat -A POSTROUTING -s 10.0.0/8 -o $Wan -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o $Wan -j MASQUERADE
     
     
        echo "NAT - Internet Hab ............ [OK]"

    No for esta liberando forward e input no server, mas embaixo libera o masquerade para todos portanto essas regras não estão entrando em conflito?
    eu uso uma regra parecida como essa...
    analise parte do meu firewall e adapte ao seu cenario

    Bloqueia toda entrada(INPUT) e travessia(FORWARD) de pacotes
    liberando somente para os cadastrados...
    eth1 = rede interna
    eth0 = rede externa

    # # Limpando Regras
    iptables -F
    iptables -X
    iptables -Z
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
    echo " Limpando Regras ..............................[ OK ]"

    # Definindo Politica Padrao
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    echo " Alterando politica padrao.....................[ OK ]"

    # Aceita os Pacotes que realmente devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Paramentros do Controle de acesso
    MACLIST=/etc/macxip
    echo " Configuracoes necessarias.....................[ OK ]"

    # # Controle de ACESSO # #
    # Diretivas do BD IP, MAC e Port
    for i in `cat $MACLIST`; do
    IPSOURCE=`echo $i | cut -d ';' -f 1`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    # Controle de Acesso IPxMAC
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    done

    # Redireciona o trafego http(80) para o squid (3128)
    iptables -t nat -A PREROUTING -i eth1 -p TCP ! -d 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth1 -p UDP ! -d 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128

    # Compartilha Conexao
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo "1" > /proc/sys/net/ipv4/ip_forward

    # Aceita todo o trafego vindo do loopback e indo pro loopback
    iptables -t filter -A INPUT -i lo -j ACCEPT

    # # SSH - mude a porta caso necessario
    iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT



  3. Cara, suas regras estão um pouco bagunçadas.

    A variável $INT_1 e $INT_2. Você define-as com nomes de interfaces de rede (linhas 4 e 5 do código no pastebin). Porém, em certos momentos, você as utiliza como se fossem endereços de redes (linha 108, por exemplo).

    E como eu falei, existe um problema de lógica. Da linha 131 à 178, você libera portas que poderão ser usadas por qualquer host, sem nenhum tipo de controle de MAC visto que essas regras aparecem antes das regras de controle de acesso. Além disso, ocorre o mesmo problema do uso das variáveis $INT_1 e $INT_2.

    Por fim, as regras das linhas 200 e 203 quebram toda a lógica do seu script: elas liberam o tráfego para quaisquer hosts das redes 10.0.0.0/8 e da 192.168.0.0/24.

    Recomendo você dar uma olhada no meu blog aqui do Under (https://under-linux.org/blogs/pedroarthurjedi). Lá tem alguns guias de iptables e também uma técnica para fazer debug de regras.

    Espero ter ajudado. Até mais...
    Última edição por PEdroArthurJEdi; 08-10-2009 às 17:53. Razão: adicionando algumas informações...

  4. Obrigado os dois, vou estar me debruçando sobre todo material passado esse feriado e se não conseguir achar a solução posso ir vender cachorro quente .

    Agradeço a sinergia .

    Abraços



  5. o correto eh vc fazer o seguinte:

    1> adicione as regras basicas: limpar regras, alterar politica padrao, manter conexoes estabilizadas...
    2> vai liberando aos poucos o q precisa...: primeiro, o acesso do que serao permitidos(hosts, servicos)...






Tópicos Similares

  1. Iptables + Mac Adress
    Por Bruno no fórum Servidores de Rede
    Respostas: 3
    Último Post: 27-12-2004, 14:48
  2. Bloqueio por Mac/IP não tá funcionando direito no iptables
    Por gustavo_marcon no fórum Servidores de Rede
    Respostas: 7
    Último Post: 15-03-2004, 11:36
  3. Iptables + Mac
    Por Mr_Dom no fórum Servidores de Rede
    Respostas: 3
    Último Post: 08-12-2003, 10:28
  4. BLOQUEIO DE MAC PELO IPTABLES
    Por HAFID no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-11-2003, 14:00
  5. iptables mac adress
    Por Itise no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-09-2003, 14:06

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L