+ Responder ao Tópico



  1. #1

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    Pessoal, li o artigo da url http://www.linuxit.com.br/modules.ph...icle&artid=154 que ensina como criar um script p/ bloquear ou liberar o acesso a rede por mac adress e IP correspondentes.
    Os marcados com A são liberados e os registros marcados com B são clientes bloqueados. Testei e funcionou certinho, acontece que funciona só com os macs que estiverem na lista, mas se o mac não tiver registro nenhum ele deveria bloquear automaticamente o acesso, mas não é isso que está acontecendo, ele bloqueia o acesso a net, mas libera o acesso ao gateway, e este gateway tem um proxy instalado, então o cliente consegue navegar normalmente na net pelo proxy.

    tem alguma solução pra isso?

  2. #2
    lss
    Visitante

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    cara da um drop no forward
    iptables -P FORWARD DROP
    depois libera para quem vc quizer
    iptables -t nat -A POSTROUTING -s 10.0.2.2 -j MASQUERADE
    iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT
    iptables -A FORWARD -d 10.0.2.2 -j ACCEPT



  3. #3

    Padrão já fiz isso

    no script esse drop do forward já está escrito antes de tudo, dai ele bloqueia quem a lista diz p/ bloquear e libera quem a lista diz p/ liberar, mas o mais estranho é que alguem que não esteja na lista consegue acessar normalmente.

    isso não pode acontecer pois eu nunca vou saber o ip e mac de um hacker, somente de meus clientes.

    e se eu ponho um drop no input, output e forward ele bloqueia todos, até mesmo quem está marcado na lista p/ liberar.

    será que tem outra solução?

    obrigado

  4. #4
    lss
    Visitante

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    cara tem certeza de que vc nao esta deixando alguma coisa liberada nao ?
    da um iptables -L e veja o polices do forward, da uma conferida na sua configuraçao, veja se nao esta liberando para toda classe etc.. , utilizo isto aqui e funciona perfeitamente .
    Boa sorte.



  5. #5

    Padrão Bloqueio de IP e MAC não funcionam

    LSS, Por acaso vc copiou exatamente como na página?

    Vc testou ver se alguem que não esteja na lista não consegue acessar mesmo?

    Pois comigo já tentei de todas maneiras e o script é igual o da página e não dá certo.


    Vc poderia me mandar seu script por email p/ mim dar uma olhada?

    Por favor.

    Muito Obrigado.

  6. #6
    lss
    Visitante

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    aqui funciona perfeitamente o controle por mac , agora as regras de iptables que utilizo aqui são estas que lhe passei assima.Faça backup das suas configurações e teste-a, com certeza vai funcionar.



  7. #7
    muganga
    Visitante

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    o comando....
    iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

    libera acesso somente se o usuario tiver ip e mac determinado? ou seja se um dos dois tiver errado o usuario nao navega...e mesmo assim se eu quiser direcionar o usuario com esse ip e mac para o meu proxy a regra de redirecionamento para o proxy tem que vir depois da regra
    iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

    ficaria assim entao

    #FAZENDO MASQUERADE
    iptables -t nat -A POSTROUTING -o eth- -j MASQUERADE

    #LIBERANDO ACESSO SOMENTE PARA O USUARIO COM IP E MAC DETERMINADO
    iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

    #REDIRECIONANDO TODO MUNDO PARA O PROXY
    iptables -t nat -A PREROUTING -p tcp --drop 80 -j REDIRECT --to-port 3128

    tenho duvida se o redirecionamento vem antes de liberar acesso

    abraço a todos

    Muganga
    ICQ: 314528019

  8. #8
    lss
    Visitante

    Padrão Bloqueio por Mac/IP não tá funcionando direito no iptables

    isso , vc libera para depois redirecionar.
    e se o ip nao tiver cadastrado ele nao navega , idem para mac address.