+ Responder ao Tópico



  1. #1

    Padrão firewall controla mac X ip mas com um problema;;;;

    ola pessoal, espero que alguem possa me ajudar!
    montei um firewall com controle de MAC x IP
    ele esta controlando ip e mac perfeitamente so que estou tendo o seguinte problema:
    os clientes não navegam, nao pinga o servidor e nem o proprio servidor pinga o ip dele mesmo.
    fico agrade... com sua colabora.....

    #!/bin/bash

    MACLIST=/etc/maclist

    ### Forward
    echo 1 > /proc/sys/net/ipv4/ip_forward

    /sbin/modprobe iptable_nat
    /sbin/modprobe iptable_filter
    /sbin/modprobe iptable_mangle
    /sbin/modprobe ip_tables
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_queue
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_nat_irc
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_conntrack
    /sbin/modprobe ipt_mac
    /sbin/modprobe ipt_mark
    /sbin/modprobe ipt_multiport
    /sbin/modprobe ipt_owner
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_tcpmss
    /sbin/modprobe ipt_tos
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ipt_MARK
    /sbin/modprobe ipt_REDIRECT
    /sbin/modprobe ipt_TCPMSS
    /sbin/modprobe ipt_TOS

    iptables -F
    iptables -t nat -F
    iptables -t filter -F
    iptables -t mangle -F
    iptables -P FORWARD ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    ### Inicio Controle MAC e Regras para Graficos - Clientes
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    # Compara IP e MAC
    iptables -A INPUT -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT

    # NAT
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $IPSOURCE -d 0/0 -j MASQUERADE

    # Proxy
    iptables -A INPUT -s $IPSOURCE --match mac --mac-source $MACSOURCE -p tcp --dport 8080 -j ACCEPT
    iptables -t nat -A PREROUTING -s $IPSOURCE --match mac --mac-source $MACSOURCE -p tcp --dport 80 -j REDIRECT --to-port 8080

    # Bloqueia Restante
    iptables -t filter -P FORWARD DROP
    iptables -A INPUT -i eth0 -j DROP

    done
    ### Fim Controle MAC

  2. #2

    Padrão esqueci de um etalhe

    o arquivo da mac liste esta sendo montado dentro da seguinte forma
    a;192.168.0.1;00:00:00:00:00:00;nome_do_cliente

  3. #3
    casper-linux
    Visitante

    Padrão firewall controla mac X ip mas com um problema;;;;

    Vou te oferecer outra solução para controle de mac e ip no seu servidor...

    ok

    Utilize o controle arp nativo do linux.

    Para isso basta que você coloque o ip e o mac permitido no arquivo /etc/ethers
    se o arquivo não existir, então crie-o. E para os ips que não estiverem sendo utilizados coloque a seguinte notação:
    192.168.1.100 00:00:00:00:00:00

    já para os liberados
    192.168.1.200 00:02:2d:ae:77:56

    sempre depois de modificar esse arquivo você deve digitar o comando:
    arp -f /etc/ethers

    caso você ainda não esteja utilizando esse controle você pode digitar: arp -an
    que ele vai te mostrar todos os ips e mac que estiverem conectados no seu servidor.

    É uma solução prática e rápida...


    Valeu

    Fabrício

  4. #4
    casper-linux
    Visitante

    Padrão firewall controla mac X ip mas com um problema;;;;

    sobre os seus clientes não navegarem pode ser essa regra:


    se essa for a sua interface externa (ligada na internet) ninguém vai navegar mesmo, pense da seguinte forma....
    ==============
    * quando um cliente for navegar ele faz uma requisição de uma nova conexão:
    * seu firewall vai passar regra por regra até achar uma que permita.
    * vamos supor que ele achou., uma regra que libere na eth1 (sua interface da rede interna).
    * o seu pacote saiu para internet e alguém vai responder (na eth0).
    * ess alguém responde, e o pacote chega na eth0, seu firewall começa a analizar as regras, e a única coisa que ele encontra é a regra: iptables -A INPUT -i eth0 -j DROP, e ele obedece.
    Mata seu pacote e ninguém navega.

    Se você quer bloquear as conexões externas, utilize uma regra baseado no estado da conexão. Pois quando você inicia uma conexão o pacote esta com o estado "new", depois quando *alguém* responde ela esta com o estado "estabilizado ou relacionado", então na eth0 (se for sua interface de saida) a regra melhor adquada seria:
    iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i eth0 -j DROP

    Tente ai,

    Valeu
    Fabrício

  5. #5