+ Responder ao Tópico



  1. #1

    Padrão Comando iptables funciona só uma parte...

    Olá Pessoal,

    Estou bloqueando o msn com essa regra, funciona para bloquear o msn e liberar somente para esse MAC Address:

    iptables -I FORWARD -p tcp -m layer7 --l7proto msnmessenger -m mac ! --mac 00:90:4B:9F:08:30 -j DROP

    Ele realmente está bloqueando o msn, mas não está fazendo essa exceção para o MAC. Para resolver isso tive que der um comando de ACCEPT nesse MAC.

    Minha pergunta é: O que está nessa regra? Gostaria de não ter que fazer a regra de ACCEPT logo abaixo, pois meu firewall vai ficar muito extenso, pois tenho que liberar para os MAC dos gerentes e da diretoria da empresa.


    Grato,


    Diego Araújo

  2. #2

    Smile

    porque primeiro nao usa um FORWARD aceitando este mac, e depois faz outra regra bloqueando o resto?



  3. #3

    Padrão

    Citação Postado originalmente por timidboy Ver Post
    porque primeiro nao usa um FORWARD aceitando este mac, e depois faz outra regra bloqueando o resto?
    Para funcionar, eu tive que fazer assim. Só que minhas regras de firewall vão aumentar bastante.

    E dessa jeito que estou querendo, já mato duas coisas num comando só!!!

    entendeu?

    Eu faço desse jeito com P2P e funciona perfeitamente, por isso gostaria de saber o que há de errado nesse comando que ignora a exceção do MAC

  4. #4

    Padrão

    tente:

    iptables -I FORWARD -p tcp -m layer7 --l7proto msnmessenger -m mac --mac-source ! 00:90:4B:9F:08:30 -j DROP



  5. #5

    Padrão

    A ! estava errada na sua regra analistaslack, ela vai depois do --mac.

  6. #6

    Padrão

    Citação Postado originalmente por PEdroArthurJEdi Ver Post
    tente:

    iptables -I FORWARD -p tcp -m layer7 --l7proto msnmessenger -m mac --mac-source ! 00:90:4B:9F:08:30 -j DROP
    Fiz isso que vc mandou, mas continuo com o mesmo problema.

    Mesmo assim valeu pela tentativa...



  7. #7

    Padrão

    Citação Postado originalmente por joseguilherme Ver Post
    A ! estava errada na sua regra analistaslack, ela vai depois do --mac.
    Oi José Guilherme,

    Continuo com o mesmo problema, já fiz isso que vc falou com a dica que nosso colega acima falou, mas continua sem funcionar parte da exceção da regra.


    Tens mais alguma dica?


    Diego Araújo

  8. #8

    Padrão

    Analistaslack, agora li novamente o seu tópico, e percebi uma coisa, vc tem vários gerentes, ou seja, se vc puser uma regra assim:
    Código :
    iptables -I FORWARD -p tcp -m layer7 --l7proto msnmessenger -m mac --mac ! 00:90:4B:9F:08:30 -j DROP
    Vc vai liberar para este diretor 00:90:4B:9F:08:30 e bloquear para todos os outros.
    Para fazer da forma que vc quer, teria que existir um módulo como o mport mas para mac pra vc poder colocar todos os macs na mesma regra. Eu nunca ouvi falar em tal módulo, só procurando na net pra ver se existe, mas tenho quase certeza que não existe.
    Não sei se fui claro na minha explicação, se não fui, pergunte que tento novamente te explicar.

    abraço.



  9. #9

    Padrão

    Citação Postado originalmente por joseguilherme Ver Post
    Analistaslack, agora li novamente o seu tópico, e percebi uma coisa, vc tem vários gerentes, ou seja, se vc puser uma regra assim:
    Código :
    iptables -I FORWARD -p tcp -m layer7 --l7proto msnmessenger -m mac --mac ! 00:90:4B:9F:08:30 -j DROP
    Vc vai liberar para este diretor 00:90:4B:9F:08:30 e bloquear para todos os outros.
    Para fazer da forma que vc quer, teria que existir um módulo como o mport mas para mac pra vc poder colocar todos os macs na mesma regra. Eu nunca ouvi falar em tal módulo, só procurando na net pra ver se existe, mas tenho quase certeza que não existe.
    Não sei se fui claro na minha explicação, se não fui, pergunte que tento novamente te explicar.

    abraço.
    Olá José Guilherme,

    Respondeu sim, vc foi muito claro na sua explicação. Eu já desconfiava disso que vc me falou. Agora que vc confirmou, me conformo em deixar do jeito que está mesmo.

    Te devo duas hein?? rsrsrsrs


    Abraços,


    Diego Araújo