+ Responder ao Tópico



  1. Hahaha! Claro!

    Código :
    iptables -A INPUT -s 192.80.1.1 -m mac --mac-source 00:02:2A:D0:80:D7 -j DROP

    O que está feito na linha acima é: Eu estou bloqueando tudo que tenha o ip 192.168.80.1.1 e o mac 00:02:2A0:807.

    Agora....

    Código :
    iptables -A INPUT -s 192.80.1.1 -m mac --mac-source ! 00:02:2A:D0:80:D7 -j DROP

    Eu estou bloqueando tudo que tenho o ip 192.168.80.1.1, mas possua o mac diferente 00:02:2A0:807

    O sinal de ! significa negação, ou seja, diferente de...

    Você bloqueou o cara!

    Bota o sinal de interrogação e veja se funciona.

  2. Funcionou não, brother!!

    Eu acho que o problema esta aqui:

    # Desvia os pacotes vindos da rede Wireless para a chain 'wireless'
    # recem criada, para filtrar trafego nao desejado
    #iptables -A INPUT -i ${IFACEWL} -j wireless
    iptables -A FORWARD -i ${IFACEWL} -j wireless

    Veja que eu so estou filtrando o FORWARD por isso que outros serviços externos como email não funciona, mas o cara continua navegando por que este regra direciona para uma porta local do server.
    iptables -t nat -A PREROUTING -p tcp --dport 80 -i ${IFACEWL} -j DNAT --to 192.80.0.1:3128

    Mas se desabilitar a linha iptables -A INPUT -i ${IFACEWL} -j wireless ai sim para tudo, mas ai o cliente tb deixa de pegar o ip dinamico.

    valeu,

    Standart


    Citação Postado originalmente por edmafer
    Hahaha! Claro!

    Código :
    iptables -A INPUT -s 192.80.1.1 -m mac --mac-source 00:02:2A:D0:80:D7 -j DROP

    O que está feito na linha acima é: Eu estou bloqueando tudo que tenha o ip 192.168.80.1.1 e o mac 00:02:2A0:807.

    Agora....

    Código :
    iptables -A INPUT -s 192.80.1.1 -m mac --mac-source ! 00:02:2A:D0:80:D7 -j DROP

    Eu estou bloqueando tudo que tenho o ip 192.168.80.1.1, mas possua o mac diferente 00:02:2A0:807

    O sinal de ! significa negação, ou seja, diferente de...

    Você bloqueou o cara!

    Bota o sinal de interrogação e veja se funciona.



  3. Antes de tudo deixa eu corrigir, não é interrogação é exclamação.

    Cara, eu não gostei do teu firewall.

    Vamos fazer o seguinte:

    Um firewall simples de exemplo:

    #Regras padrões

    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP

    #Por padrão nego tudo para depois liberar

    #Variáveis
    iface=eth0
    ifacewl=eth1

    #Rede interna
    rede=192.80.1.0/24

    #Endereço net
    net=200.200.200.200

    #Receber endereço DHCP (não lembro se era tcp ou udp)
    iptables -A INPUT -i $rede -p tcp --dport 67 -j ACCEPT

    ############################################################
    # Controle por MAC
    ############################################################

    #Voce
    iptables -t nat -A PREROUTING -i iface -s seu_ip -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente1
    iptables -t nat -A PREROUTING -i iface -s ip_cliente1 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente2
    iptables -t nat -A PREROUTING -i iface -s ip_cliente2 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Se ele não for barrado aqui, é por que está com o ip correto e com o mac correto.

    #Redirecionar tudo que vai para 80 para o proxy
    iptables -t nat -A PREROUTING -i $iface -s $rede -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -A FORWARD -i $iface -s $rede -p tcp --dport 80 -j ACCEPT

    #Fazer masquerade dos e-mails
    iptables -t nat -A POSTROUTING -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j MASQUERADE
    iptables -A FORWARD -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j ACCEPT

    #Volta
    iptables -A FORWARD -i $ifacewl -d $rede -p tcp -m multiport --sport 25,110 -j ACCEPT

    ----------------------

    Lembre-se de no DHCP de utilizar a opção hardware ethernet para distribuir o ip certo para cada
    um.

    E não distribua ip para quem não está no seu cadastro de mac.

    Eu utilizei uma politica que uso aqui na empresa, fecho tudo e vou liberando somente o que interessa.

    No seu caso estude bem isto, pois, usuários de condomínios podem ter necessidades diferentes, e isto que dizer que são mais portas abertas, tanto na ida quanto na volta.

    Espero que consiga, mas qualquer coisa berra ai.

  4. Poxa, tentei implementar essa regra do geito que vo ce colocou aqui...
    Mas estas linhas insistem em gerar este erro "

    #Voce
    iptables -t nat -A PREROUTING -i iface -s seu_ip -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente1
    iptables -t nat -A PREROUTING -i iface -s ip_cliente1 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente2
    iptables -t nat -A PREROUTING -i iface -s ip_cliente2 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    Citação Postado originalmente por edmafer
    Antes de tudo deixa eu corrigir, não é interrogação é exclamação.

    Cara, eu não gostei do teu firewall.

    Vamos fazer o seguinte:

    Um firewall simples de exemplo:

    #Regras padrões

    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP

    #Por padrão nego tudo para depois liberar

    #Variáveis
    iface=eth0
    ifacewl=eth1

    #Rede interna
    rede=192.80.1.0/24

    #Endereço net
    net=200.200.200.200

    #Receber endereço DHCP (não lembro se era tcp ou udp)
    iptables -A INPUT -i $rede -p tcp --dport 67 -j ACCEPT

    ############################################################
    # Controle por MAC
    ############################################################

    #Voce
    iptables -t nat -A PREROUTING -i iface -s seu_ip -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente1
    iptables -t nat -A PREROUTING -i iface -s ip_cliente1 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Cliente2
    iptables -t nat -A PREROUTING -i iface -s ip_cliente2 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT

    #Se ele não for barrado aqui, é por que está com o ip correto e com o mac correto.

    #Redirecionar tudo que vai para 80 para o proxy
    iptables -t nat -A PREROUTING -i $iface -s $rede -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -A FORWARD -i $iface -s $rede -p tcp --dport 80 -j ACCEPT

    #Fazer masquerade dos e-mails
    iptables -t nat -A POSTROUTING -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j MASQUERADE
    iptables -A FORWARD -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j ACCEPT

    #Volta
    iptables -A FORWARD -i $ifacewl -d $rede -p tcp -m multiport --sport 25,110 -j ACCEPT

    ----------------------

    Lembre-se de no DHCP de utilizar a opção hardware ethernet para distribuir o ip certo para cada
    um.

    E não distribua ip para quem não está no seu cadastro de mac.

    Eu utilizei uma politica que uso aqui na empresa, fecho tudo e vou liberando somente o que interessa.

    No seu caso estude bem isto, pois, usuários de condomínios podem ter necessidades diferentes, e isto que dizer que são mais portas abertas, tanto na ida quanto na volta.

    Espero que consiga, mas qualquer coisa berra ai.



  5. Qual é o erro?






Tópicos Similares

  1. Kazaa + firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-01-2005, 20:21
  2. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 5
    Último Post: 29-11-2004, 19:09
  3. Squid + Firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 10
    Último Post: 02-12-2002, 18:54
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L