Bloqueio por Mac/IP não tá funcionando direito no iptables

Pessoal, li o artigo da url http://www.linuxit.com.br/modules.ph...icle&artid=154 que ensina como criar um script p/ bloquear ou liberar o acesso a rede por mac adress e IP correspondentes.
Os marcados com A são liberados e os registros marcados com B são clientes bloqueados. Testei e funcionou certinho, acontece que funciona só com os macs que estiverem na lista, mas se o mac não tiver registro nenhum ele deveria bloquear automaticamente o acesso, mas não é isso que está acontecendo, ele bloqueia o acesso a net, mas libera o acesso ao gateway, e este gateway tem um proxy instalado, então o cliente consegue navegar normalmente na net pelo proxy.

tem alguma solução pra isso?

cara da um drop no forward
iptables -P FORWARD DROP
depois libera para quem vc quizer
iptables -t nat -A POSTROUTING -s 10.0.2.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT
iptables -A FORWARD -d 10.0.2.2 -j ACCEPT

no script esse drop do forward já está escrito antes de tudo, dai ele bloqueia quem a lista diz p/ bloquear e libera quem a lista diz p/ liberar, mas o mais estranho é que alguem que não esteja na lista consegue acessar normalmente.

isso não pode acontecer pois eu nunca vou saber o ip e mac de um hacker, somente de meus clientes.

e se eu ponho um drop no input, output e forward ele bloqueia todos, até mesmo quem está marcado na lista p/ liberar.

será que tem outra solução?

obrigado

cara tem certeza de que vc nao esta deixando alguma coisa liberada nao ?
da um iptables -L e veja o polices do forward, da uma conferida na sua configuraçao, veja se nao esta liberando para toda classe etc.. , utilizo isto aqui e funciona perfeitamente .
Boa sorte.

LSS, Por acaso vc copiou exatamente como na página?

Vc testou ver se alguem que não esteja na lista não consegue acessar mesmo?

Pois comigo já tentei de todas maneiras e o script é igual o da página e não dá certo.


Vc poderia me mandar seu script por email p/ mim dar uma olhada?

Por favor.

Muito Obrigado.

aqui funciona perfeitamente o controle por mac , agora as regras de iptables que utilizo aqui são estas que lhe passei assima.Faça backup das suas configurações e teste-a, com certeza vai funcionar.

o comando....
iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

libera acesso somente se o usuario tiver ip e mac determinado? ou seja se um dos dois tiver errado o usuario nao navega...e mesmo assim se eu quiser direcionar o usuario com esse ip e mac para o meu proxy a regra de redirecionamento para o proxy tem que vir depois da regra
iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

ficaria assim entao

#FAZENDO MASQUERADE
iptables -t nat -A POSTROUTING -o eth- -j MASQUERADE

#LIBERANDO ACESSO SOMENTE PARA O USUARIO COM IP E MAC DETERMINADO
iptables -A FORWARD -s 10.0.2.2 -m mac --mac-source 00:50:FC:54:8C:28 -j ACCEPT

#REDIRECIONANDO TODO MUNDO PARA O PROXY
iptables -t nat -A PREROUTING -p tcp --drop 80 -j REDIRECT --to-port 3128

tenho duvida se o redirecionamento vem antes de liberar acesso

abraço a todos

Muganga
ICQ: 314528019

isso , vc libera para depois redirecionar.
e se o ip nao tiver cadastrado ele nao navega , idem para mac address.