Como fazer iptables em Edmax-7209 aprouter 6.1

[kelinhos]

Ola galera,
Estou tendo varios problemas com meu AP, e gostaria de bloquear sites com o iptables no Edmax-7209 aprouter 6.1.

Tenho 2 maquinas ligado por cabo e 3 via wireless, e todas as maquinas possui ip fixo.

Eu gostaria de bloquear alguns sites para determinados ip´s, pois estou tendo problemas com sites youtube e outros, e gostaria de bloquear principalmente o youtube em uma maquina que conecta via wireless. ( o usuario dessa maquina abre mais de 10 youtube e ainda reclama que a net tá uma meleka ) kkkkkkk,,, rs,, e não entende q não poder fazer isso, e ainda ferra os outros...

Bom,,, é isso ai galera,, se alguem poder me ajudar, ficarei muito grato.
Obrigado a todos....

[alexandrecorrea]

iptables -t filter -A FORWARD -d ip.do.site -j REJECT

coloca nos scripts pessoais e salva.. 1 para cada ip ou bloco de rede

[kelinhos]

Grande Alexandre, blz

Valeu pela ajuda,, mas tira uma duvida minha,, o script do AP é original, eu não mudei nada nele, e gostaria de saber se tenho que fazer a regra de limpeza iptables -F e tal....
e outra coisa, como que essa regra que vc passou saberá que tal maquina não pode ver tal site..

no aguardo.

[alexandrecorrea]

isso ai bloqueia o site para todos que passem por este ap..

para fazer bloqueio por IP.. precisa de algumas regras.. tipo:

iptables -t filter -A FORWARD -s ip.do.usuario -d ip.do.destino -j REJECT

[kelinhos]

Boas Alexandre...blz..

eu poderia colocar essa regra bem no inicio??? tipo...


#!/bin/sh <=== isso aqui eu tiro o comentario??? ( # )????
## Ultima atualizacao: 04/09/2006
## Versao 6.1
############# SCRIPT PESSOAL ####################
# #
# Arquivo contendo seus scripts pessoais #

iptables -t filter -A FORWARD -s 192.168.1.2 -d 200.200.200.200 -j REJECT <==== Aqui???

# #
#################################################
# Tudo que comeca com "#" nao sera interpretado
#### FIREWALL, ROTEAMENTO ####
## Exemplo de ROTEAMENTO ESTATICO somente, sem NAT
## retirando regras de NAT e tornando policy default ACCEPT em FORWARD:
# iptables -t nat -F
# iptables -P FORWARD ACCEPT
## Exemplo para ROTEAMENTO ESTATICO para uma rede especifica
## retirando NAT da rede especifica e habilitando FORWARD para rede:
# iptables -t nat -I PREROUTING -s 200.248.132.27/24 -j ACCEPT
# iptables -t nat -I POSTROUTING -s 200.248.132.27/24 -j ACCEPT
# iptables -I FORWARD -s 200.248.132.27/24 -j ACCEPT
# iptables -I FORWARD -d 200.248.132.27/24 -j ACCEPT
## Exemplo de REDIRECIONAMENTO de ip para maquina da rede interna
## exemplo redirecionara todo trafego para IP 200.248.132.2
## para maquina interna 192.168.2.2 e vice-versa
# iptables -t nat -I PREROUTING -d 200.248.132.2 -j DNAT \
# --to-destination 192.168.2.2
# iptables -t nat -I POSTROUTING -s 192.168.2.2 -j SNAT \
# --to-source 200.248.132.2
## Exemplo de REDIRECIONAMENTO de PORTA para maquina da rede interna
## exemplo redirecionara todo trafego que entra na porta 90 para \
##IP 200.248.132.2, para ip 192.168.2.2 na porta 80.
# iptables -t nat -I PREROUTING -d 200.248.132.2 -p TCP --dport 90 -j DNAT \
# --to-destination 192.168.2.2:80
# iptables -t nat -I POSTROUTING -s 192.168.2.2 -p TCP --sport 80 -j SNAT \
# --to-source 200.248.132.2:90
## Exemplo de NAT, fazendo um rede sair por um IP e outra rede sair por outro IP
## neste exemplo, a rede 192.168.2.0/24 vai sair pelo IP 200.248.100.1
## e a rede 192.168.3.0/24 vai sair pelo IP 200.248.100.2
# iptables -t nat -I POSTROUTING -s 192.168.2.0/24 -j SNAT \
# --to-source 200.248.100.1
# iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -j SNAT \
# --to-source 200.248.100.2
## Criando uma rota
# route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.2.2

#------------------------------------
#### APELIDOS DE IP ####
## Exemplo para apelido de ip (via web somente 5, por script ilimitado)
## Apelido para LAN:
# ifconfig br0:6 192.168.100.1 netmask 255.255.255.0
## Apelido para WAN
## Caso modo de operacao seja Gateway:
# ifconfig eth1:6 192.168.100.1 netmask 255.255.255.0
## Caso modo de operacao seja Wireless ISP:
# ifconfig wlan0:6 192.168.100.1 netmask 255.255.255.0
#------------------------------------
#### CONTROLE DE ACESSO POR MAC ####
## NAO ESQUECER DE HABILITAR O CONTROLE DE ACESSO NO MENU WIRELESS - CONTROLE DE ACESSO
## O comando abaixo serve para esvaziar a tabela de controle de acesso:
# iwpriv wlan0 set_mib aclnum=0
## Obs.: O comando acima ira limpar inclusive os macs editados via WEB
## Exemplo de controle de acesso por MAC para mais de 20 estacoes:
## Primeiro passo, desligar a interface wireless
# ifconfig wlan0 down
# iwpriv wlan0 set_mib acladdr=004f62033543
# iwpriv wlan0 set_mib acladdr=004f33333333
# iwpriv wlan0 set_mib acladdr=004f22222222
## Apos editar os macs acima, reiniciar a interface wireless
# ifconfig wlan0 up





Somente isso????

No aguardo...

[alexandrecorrea]

nao.. dpois do -F .. pq o -F limpa tudo.. dps dele vc adiciona

[kelinhos]

Alexandre,,
ahh,, desculpe da demora,,, estou testando aqui,, mas acho que pelo ip é meio complicado de achar os ips de todos os sites,, e gostaria de saber, se eu colocar o endereço do site, no lugar do ip, daria certo??? daria pra fazer isso???

ex: iptables -t filter -A FORWARD -s 192.168.0.2 -d 64.233.163.94 -j REJECT por isso
iptables -t filter -A FORWARD -s 192.168.0.2 -d www.orkut.com -j REJECT

daria certo?????


Valew.......

[alexandrecorrea]

funciona.. mas por ex... orkut tem varios ips... ele vai bloquear o primeiro... o resto ta livre

[kelinhos]

Alexandre,, valeu pela ajuda... brigadão mesmo,,, mas para mim não funciono nada.....
valeu por perder seu tempo.....

abraço......

[rogeriorrh]

Alexandre,, valeu pela ajuda... brigadão mesmo,,, mas para mim não funciono nada.....
valeu por perder seu tempo.....

abraço......

Tenho um edimax com wappro v5 que não estou conseguindo fazer o proposto aqui no tópico. Isso é realmente possível?