Ajuda com Problema de Firewall

[AirKing]

Ola Amigos do Underlinux.

Administro um provedor e implante o sistema de firewall casando IP/MAC , funcionou bem.... tudo certinho... eu utilizava APs da Samsungs... todos SWL3300 ... eles me passavam os macs dos clientes todos corretos.... o problema veio quando instalei um AP da Senao... agora todos os clientes chegam para mim com o MAC do AP Senao.

Ai que ta o problema.... como todos os clientes chegam com o mesmo MAC... como posso estar filtrando ip/mac ... como tenho varios pontos de acesso... eu poderia no caso... deixar esses pontos que o SENAO abrange casando o mesmo mac pra todos os ips.... tentei isso.... cadastrando todos os MAC para os determinados clientes... e ele nao funcionou... ja aconteceu isso com alguem? alguem sabe alguma maneira preu barrar pelo menos os restantes dos clientes? ja que estou tendo clientes que ficam pulando de ip usando o limite de banda de outros clientes.


Qualquer luz! eh bem vinda..
Agradeco desde ja a ajuda...

Abracos.
Glauber Mattar

[gatoseco]

Cara provavelmente esse ap clona os mac adress, entao cadastre no seu servidor o ip tal com o mac do ap, se ele mudar o ip que nao esteja cadastrado no seu server nao funciona a internet dele, tipo ele muda o ip mas nao tem cadastrado um mac pra ele ai nao vai funcionar!!!


Valeu mano qualquer duvida posta ai !!!

[AirKing]

Opa vlw pelo help...
Mas ai entra outro problema... nao sei porque... o firewall nao gosta muito de varias pessoas com o mesmo MAC cadastrado :/
Ele bloqueia a maioria pq seria?
Eu utilizo o script de firewall que peguei nos artigos da linuxit

Abracos.
Glauber

[gatoseco]

Poderia postar o script pra galera dar uma olhada???

[AirKing]

Claro... abaixo o script que uso para casar ip / mac

#/bin/bash
#Script de Firewall para bloqueio por MACaddress
#Criado por Carlos Eduardo Langoni
#23/01/2003
#
# Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
# Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será bloqueado o IP, apenas o MAC
#
IPT=/usr/local/sbin/iptables
PROGRAMA=/bin/firewall
NET_IFACE=eth0
LAN_IFACE=eth1
MACLIST=/etc/maclist
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
$IPT -F
$IPT -t nat -F
$IPT -t filter -P FORWARD DROP
for i in `cat $MACLIST`; do
STATUS=`echo $i | cut -d ';' -f 1`
IPSOURCE=`echo $i | cut -d ';' -f 3`
MACSOURCE=`echo $i | cut -d ';' -f 2`
#Se status = a então eu libera a conexao
if [ $STATUS = "a" ]; then
$IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
$IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

# Se for = b então bloqueia o MAC
else
$IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
$IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
$IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
fi
done

echo "FIREWALL ATIVADO SISTEMA PREPARADO"
;;
stop)
$IPT -F
$IPT -Z
$IPT -t nat -F
$IPT -t filter -P FORWARD ACCEPT
echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
;;
restart)
$PROGRAMA stop
$PROGRAMA start
;;
esac


Caso alguem queira ver o artigo completo de como implementar esse script... visitem http://www.linuxit.com.br/section-viewarticle-154.html


Aguardo alguma ajuda.
Abracos.
Glauber Mattar