+ Responder ao Tópico



  1. #1
    Jconline
    Visitante

    Padrão Bloqueio mac/ip

    existe uma regra mais simples para bloquear mac ip no iptables, to usando redhat 9.0 e se alguem puder ajudar, gostaria que me detalhasse os passos pois to comećando a mexer com linux e tenho dúvidas geralmente onde devo colocar as regras no firewall.

    Valeu!!!

  2. #2
    bonny
    Visitante

    Padrão Bloqueio mac/ip

    faz o seguinte:

    # aqui voce seta sua politica de seguranca
    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT

    # aqui voce apaga as possiveis regras no kernel
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t filter -F
    iptables -t filter -X
    iptables -t mangle -F
    iptables -t mangle -X

    # aqui voce marca INPUT como ESTABLISHED
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    # aqui voce dropa conexoes invalidas
    iptables -A INPUT -m state --state INVALID -j DROP

    # se voce for fazer via ssh use essa linha abaixo
    iptables -A INPUT -p tcp --dport PORTA-SSH -d IP-SERVIDOR -j ACCEPT

    # aqui voce libera o ip com o mac amarrado
    iptables -A FORWARD -i eth1 -o eth0 -s IP-CLIENTE -m mac --mac-source MAC-ADDRESS-CLIENTE -j ACCEPT
    iptables -A FORWARD -i eth0 -o eth1 -d IP-CLIENTE -j ACCEPT

    # aqui voce da internet ao cliente
    iptables -t nat -A POSTROUTING -s IP-CLIENTE -j MASQUERADE

    se o cara nao conseguir navegar voce adiciona essa linha:
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    nao tenho certeza se vai precisar, fiz de cabeca, so testando ...
    nao esquece de habilitar o roteamento de pacotes no kernel:
    echo 1 > /proc/sys/net/ipv4/ip_forward

    abracos



  3. #3
    eml
    Visitante

    Padrão amarar ip/mac

    veja esta como é simples neste link https://under-linux.org/modules.php?...wtopic&t=23603 ja testei.

  4. #4

    Padrão Bloqueio mac/ip

    #Bloqueia acesso de todos nao cadastrados
    iptables -P FORWARD DROP

    #liberando acesso para 10.0.1.2
    iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
    iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
    iptables -A FORWARD -d 10.0.1.2 -j ACCEPT[/quote]




    Esta regra parece bem simples, mas tenho algumas duvidas

    1 - onde coloco estas regras no firewall
    2 - preciso reiniciar o firewall ou e só salvar o arquivo
    3 - preciso instalar algum outro programa

    agradeço a quem puder responder.



  5. #5
    bonny
    Visitante

    Padrão Bloqueio mac/ip

    pra que milhoes de respostas ? o problema do cara ja foi resolvido, ta cheio de gente aqui querendo aparecer

  6. #6

    Padrão Bloqueio mac/ip

    Citação Postado originalmente por valeonline
    #Bloqueia acesso de todos nao cadastrados
    iptables -P FORWARD DROP

    #liberando acesso para 10.0.1.2
    iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
    iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
    iptables -A FORWARD -d 10.0.1.2 -j ACCEPT



    Esta regra parece bem simples, mas tenho algumas duvidas

    1 - onde coloco estas regras no firewall
    2 - preciso reiniciar o firewall ou e só salvar o arquivo
    3 - preciso instalar algum outro programa

    agradeço a quem puder responder.[/quote]



  7. #7

    Padrão Bloqueio mac/ip

    #/bin/bash
    #Script de Firewall para bloqueio por MACaddress
    #Criado por Carlos Eduardo Langoni
    #23/01/2003
    #
    # Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
    # Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
    queado o IP, apenas o MAC
    #
    IPT=/usr/local/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=eth1
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist
    echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    iptables -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`
    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    # Se for = b então bloqueia o MAC
    else
    iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
    fi
    done
    iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128


    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    iptables -F
    iptables -Z
    iptables -t nat -F
    iptables -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac

  8. #8

    Padrão Opcao

    Citação Postado originalmente por diegofsousarn
    #/bin/bash
    #Script de Firewall para bloqueio por MACaddress
    #Criado por Carlos Eduardo Langoni
    #23/01/2003
    #
    # Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
    # Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
    queado o IP, apenas o MAC
    #
    IPT=/usr/local/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=eth1
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist
    echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    iptables -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`
    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    # Se for = b então bloqueia o MAC
    else
    iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
    fi
    done
    iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128


    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    iptables -F
    iptables -Z
    iptables -t nat -F
    iptables -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac
    o que seria essa opcao
    PROGRAMA=/bin/firewall
    onde achar esse aquivo, aqui no meu naum tem..

    Grato



  9. #9

    Padrão Bloqueio mac/ip

    o que seria essa opcao
    PROGRAMA=/bin/firewall
    onde achar esse aquivo, aqui no meu naum tem..

    Grato
    Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal

  10. #10
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Bloqueio mac/ip

    Citação Postado originalmente por diegofsousarn
    o que seria essa opcao
    PROGRAMA=/bin/firewall
    onde achar esse aquivo, aqui no meu naum tem..

    Grato
    Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal
    estranho... no slackware nao tem isso nao...
    O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.



  11. #11

    Padrão Bloqueio mac/ip

    diegofsousarn escreveu:
    Citação:
    o que seria essa opcao
    PROGRAMA=/bin/firewall
    onde achar esse aquivo, aqui no meu naum tem..

    Grato


    Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal


    estranho... no slackware nao tem isso nao...
    O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.
    ...é verdade eu olhei no meu agora e realmente não tem na epoca eu esta procurando tanto por isso que nem me preocupei fui logo colocando para funcionar, e funciona!

  12. #12

    Padrão Vou testar

    Citação Postado originalmente por diegofsousarn
    diegofsousarn escreveu:
    Citação:
    o que seria essa opcao
    PROGRAMA=/bin/firewall
    onde achar esse aquivo, aqui no meu naum tem..

    Grato


    Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal


    estranho... no slackware nao tem isso nao...
    O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.
    ...é verdade eu olhei no meu agora e realmente não tem na epoca eu esta procurando tanto por isso que nem me preocupei fui logo colocando para funcionar, e funciona!
    Vou testar to precisando de um esquema desse aii..

    Valew



  13. #13

    Padrão Bloqueio mac/ip

    Eu estou usando ele aqui, e como ele e bem simples de usar pra mim foi uma mão na roda.
    eu so faço criar o arquivo que ele pede com o ip/mac dos clientes colocar o script como execultavel adicionar ele no # rc.local
    e só listar os usuarios
    vc pode ver no no script ele da uma pequena explicação.
    e se vc usa proxy descomente uma linha que eu comentei pois eu não uso proxy.

    espero ter ajudado.

  14. #14

    Padrão Bloqueio mac/ip

    Pessoal usei esta dica

    https://under-linux.org/modules.php?...wtopic&t=23603

    quando dei o comando arp -f /etc/ethers deu certo, só que vi que alguns ips/macs tinha ficado errado, então modifiquei o arquivo e quando voltei a dar o comando arp -f /etc/ethers aparece:

    Uso: arp [-vn] [<HW>] [-i <if>] [-a] [<máquina>] <-Mostra cache ARP
    arp [-v] [-i <if>] -d <máquina> [pub][nopub] <-Remove entrada ARP
    arp [-vnD] [<HW>] [-i <if>] -f [<arquivo>] <-Inclui entrada de arquivo
    arp [-v] [<HW>] [-i <if>] -s <máquina> <end_hw> [temp][nopub] <-Inc. Entrada
    arp [-v] [<HW>] [-i <if>] -s <máquina> <end_hw> [netmask <nm>] pub <-''-
    arp [-v] [<HW>] [-i <if>] -Ds <máquina> <if> [netmask <nm>] pub <-''-
    -a mostra (todas as) máquinas no estilo alternativo (BSD)
    -e display (all) hosts in default (Linux) style
    -s, --set define uma nova entrada ARP
    -d, --delete remove a entrada especificada
    -v, --verbose listagem detalhada
    -n, --numeric don't resolve names
    -i, --device especifica a interface de rede (ex: eth0)
    -D, --use-device leia <hwaddr> de um dispositivo
    -A, -p, --protocol especifica a família de protocolos
    -f, --file leia novas entradas de arquivo ou de /etc/ethers

    <HW>=Use '-H <hw>' para especificar o tipo de endereço de hw. Default: ether
    Lista dos tipos de hardware possíveis (que suportam ARP):
    strip (Metricom Starmode IP) ash (Ash) ether (Ethernet)
    tr (16/4 Mbps Token Ring) tr (16/4 Mbps Token Ring (Novo)) ax25 (AX.25 AMPR)
    netrom (NET/ROM AMPR) rose (AMPR ROSE) arcnet (ARCnet)
    dlci (Frame Relay DLCI) fddi (FDDI - Fibra Ãtica) hippi (HIPPI)
    irda (IrLAP) x25 (generic X.25)

    alguem pode me dizer o que pode ser, ja coloquei no rc local tambem e não resolveu.

    Obrigado

    :toim: