Somente liberar alguns clientes na interface wireless

[laerciok]

Coloquei uma placa dlink-510 em um servidor no mode AP o que esta funcionando normalmente.
Agora gostaria de liberar a entrada pela interface ath0 somente para MAC e IPs cadastrados e para isto usei o artigo https://under-linux.org/5987-amarran...funcional.html

Nesta solucao o cliente ate consegue se conectar e pegar IP do DHCP, mas nao navega e fica aparecendo mensagens de DROP no servidor.
O que esta errado nesta regras para liberar alguns MAC?

laerciok

#Rede local=eth0
#Internet =eth1
# wireless =ath0
# Ativa modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Determina a política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Aceita os pacotes que realmente devem entrar
#iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT
# Controle de acesso IP X MAC
IFACESOURCE=ath0
MACLIST=/usr/local/bin/maclist
for i in `cat $MACLIST`; do
NOME=`echo $i | cut -d '=' -f 3`
IPSOURCE=`echo $i | cut -d '=' -f 2`
MACSOURCE=`echo $i | cut -d '=' -f 1`
iptables -t filter -A FORWARD -i $IFACESOURCE -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A FORWARD -i $IFACESOURCE -d $IPSOURCE -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -i $IFACESOURCE -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t nat -A POSTROUTING -s $IPSOURCE -o eth1 -j MASQUERADE
done
iptables -A INPUT -i eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
#Compartilha a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
#Fecha o resto
iptables -A INPUT -j LOG --log-prefix "drop "
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP

/usr/local/bin/maclist
00:02:2d:15:11:1d=192.168.10.6=cliente1
00:91:4B:49:48:ab=192.168.10.50=cliente2

[harrypotheard]

para contralar cliente por ip x mac tem que ser assim:


#arquivomac
10.0.0.1 aa:bb:cc:dd:ee
10.0.0.2 aa:bb:cc:dd:ee

arp -f /arquivomac

depois arp -a dae vc vai ver tua lista de mac...

sds, Ary

[xstefanox]

1 - As mensagens de DROP no console provavelmente estão aparecendo porque o iptables está logando pacotes que são jogados fora e mostrando o resultado nos logs em /var/log e no syslog.conf, arquivo de configuração do syslog, está alguma linha dizendo para enviar esse tipo de informação para o console. Dê uma verificada.

Minha sugestão é que você dê uma analisada nessas mensagens aí, porque talvez você precise liberar mais alguma coisa no firewall. Tirando isso, recomendo que você dê uma sniffada na rede com o tcpdump ou o iptraf.


Abraços!