Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. olá pessoal, é o seguinte:

    Uso na mesma maquina proxy transparente e controle de mac address,
    como segue abaixo:

    iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
    iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.

    obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.

  2. Rogerio
    tenta bloquer o acesso ao INPUT também

    pq o que está acontecendo, é que quando você coloca proxy transparente, o processo não é feito via FORWARD (encaminhamento de uma estação para fora) e sim via INPUT (estação até o proxy) tanto que se você fizer um teste de ip
    o ip acessado na página, é o do servidor proxy
    então você terá de negar o acesso ao seu servidor

    ou seja
    iptables -A INPUT -mac --mac-source .....

    bom, acho que é isso
    entendo muito pouco de iptables (ou seja, se estiver errado é pq sou burro mesmo), mas acho que isso deva funcionar

    []'s
    Robson



  3. #3
    Citação Postado originalmente por rogeriobenvindo
    olá pessoal, é o seguinte:

    Uso na mesma maquina proxy transparente e controle de mac address,
    como segue abaixo:

    iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
    iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.

    obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.
    Cara, acho o q vc quer nao vai funcionar. Se eu nao estou enganado a filtragem de PREROUTING eh executada antes da filtragem de FORWARD.

    Outra coisa, se seu squid estiver na mesma maquina do firewall o MAC q esta sendo indetificado pelo iptables e o MAC do servidor e nao dos clientes.

    Explicando melhor passo a passo o processo:
    1) o cliente manda a requisicao para o firewall/proxy
    2) o firewall troca a porta 80 peloa 3128
    3) o squid le tudo na porta 3128, filtra, faz cache, etc
    4) o squid troca de porta 3128 para 80 e manda a requisicao ao gateway
    5) o firewall/gateway recebe a requisicao, manda para o FORWARD, faz o NAT.
    6) a requisicao eh respondia ao squid e ai vem o processo inverso

    Entao, ate o fim da etapa 4 nenhum MAC foi enviado ao FORWARD do iptables e na etapa 5 quem fez a requisicao foi o squid (com o MAC do servidor)

    Agora eu te pergundo... o q vc quer bloquer/liberar por MAC, so navegacao pela web ou toda a internet???

    dependendo do q vc quer fazer existem algumas alternativa para vc controlar isso atraves do OUTPUT.

    [] Dotta :twisted:

  4. #4
    Citação Postado originalmente por erroneous
    Rogerio
    tenta bloquer o acesso ao INPUT também
    No INPUT nao vai funcionar... o INPUT eh tudo q vem da internet e entra para seu rede, de forma simplificada. O controle tem q ser por FORWARD ou OUTPUT. O q vc vai usar para controlar isso depende de como esta sua estrutura.

    [] Dotta :twisted:



  5. amigo, conform um outro post aqui no under, vc pode controlar/amarrar ips com mac através de um arquvo /etc/ethers onde vc cria uma lista:

    192.168.1.2 00:00:00:00:00:00
    192.168.1.3 00:00:00:00:00:00

    Depois vc roda o comando:

    arp -f /etc/ethers

    e para o proxy transparente vc aplica suas regras normalmente... derepente vc pode criar as regras por IP:

    iptables -t nat -A PREROUTING -s 192.168.1.2 -p tcp --dport 80 -j REDIRECT --to-port 3128






Tópicos Similares

  1. RB750 para Controle de MAC Address
    Por Lbberti no fórum Redes
    Respostas: 1
    Último Post: 09-01-2012, 19:31
  2. Controle de MAC ADDRESS
    Por mineiroxd no fórum Redes
    Respostas: 5
    Último Post: 06-02-2007, 13:00
  3. modo ad-hoc para controle de mac
    Por jonas_ no fórum Redes
    Respostas: 2
    Último Post: 13-09-2004, 10:26
  4. Controle de MAC em Rádio
    Por pdrbast no fórum Redes
    Respostas: 12
    Último Post: 14-08-2004, 16:55
  5. Proxy Transparente e Upload de Arquivo (Problema)
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 21-03-2003, 12:57

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L