+ Responder ao Tópico



  1. #1

    Padrão proxy transparente e controle de mac address

    olá pessoal, é o seguinte:

    Uso na mesma maquina proxy transparente e controle de mac address,
    como segue abaixo:

    iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
    iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.

    obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.

  2. #2

    Padrão proxy transparente e controle de mac address

    Rogerio
    tenta bloquer o acesso ao INPUT também

    pq o que está acontecendo, é que quando você coloca proxy transparente, o processo não é feito via FORWARD (encaminhamento de uma estação para fora) e sim via INPUT (estação até o proxy) tanto que se você fizer um teste de ip
    o ip acessado na página, é o do servidor proxy
    então você terá de negar o acesso ao seu servidor

    ou seja
    iptables -A INPUT -mac --mac-source .....

    bom, acho que é isso
    entendo muito pouco de iptables (ou seja, se estiver errado é pq sou burro mesmo), mas acho que isso deva funcionar

    []'s
    Robson

  3. #3
    Visitante

    Padrão Re: proxy transparente e controle de mac address

    Citação Postado originalmente por rogeriobenvindo
    olá pessoal, é o seguinte:

    Uso na mesma maquina proxy transparente e controle de mac address,
    como segue abaixo:

    iptables -A FORWARD -s 88.0.7.1/32 -m mac --mac-source 00:80:C8:B2:F0:7B -j ACCEPT
    iptables -A FORWARD -d 88.0.7.1/32 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    o controle de mac address funciona belezinha enquanto o squid está desativado, quando eu ativo o squid qualquer requisiçao na porta 80 passa a funcionar independente do controle do mac address, ou seja, parece que o iptables tem uma sequencia para executar as regras, dai ele desvia para a porta 3128 antes de bloquear o mac address, e nao bloqueia nem depois do desvio.

    obs: requisiçoes na porta segura 443 por exemplo ficam bloqueadas, mesmo com o squid ativado, msn tambem fica bloqueado, resumindo, só nao bloqueia a porta 80.
    Cara, acho o q vc quer nao vai funcionar. Se eu nao estou enganado a filtragem de PREROUTING eh executada antes da filtragem de FORWARD.

    Outra coisa, se seu squid estiver na mesma maquina do firewall o MAC q esta sendo indetificado pelo iptables e o MAC do servidor e nao dos clientes.

    Explicando melhor passo a passo o processo:
    1) o cliente manda a requisicao para o firewall/proxy
    2) o firewall troca a porta 80 peloa 3128
    3) o squid le tudo na porta 3128, filtra, faz cache, etc
    4) o squid troca de porta 3128 para 80 e manda a requisicao ao gateway
    5) o firewall/gateway recebe a requisicao, manda para o FORWARD, faz o NAT.
    6) a requisicao eh respondia ao squid e ai vem o processo inverso

    Entao, ate o fim da etapa 4 nenhum MAC foi enviado ao FORWARD do iptables e na etapa 5 quem fez a requisicao foi o squid (com o MAC do servidor)

    Agora eu te pergundo... o q vc quer bloquer/liberar por MAC, so navegacao pela web ou toda a internet???

    dependendo do q vc quer fazer existem algumas alternativa para vc controlar isso atraves do OUTPUT.

    [] Dotta :twisted:

  4. #4
    Visitante

    Padrão proxy transparente e controle de mac address

    Citação Postado originalmente por erroneous
    Rogerio
    tenta bloquer o acesso ao INPUT também
    No INPUT nao vai funcionar... o INPUT eh tudo q vem da internet e entra para seu rede, de forma simplificada. O controle tem q ser por FORWARD ou OUTPUT. O q vc vai usar para controlar isso depende de como esta sua estrutura.

    [] Dotta :twisted:

  5. #5

    Padrão proxy transparente e controle de mac address

    amigo, conform um outro post aqui no under, vc pode controlar/amarrar ips com mac através de um arquvo /etc/ethers onde vc cria uma lista:

    192.168.1.2 00:00:00:00:00:00
    192.168.1.3 00:00:00:00:00:00

    Depois vc roda o comando:

    arp -f /etc/ethers

    e para o proxy transparente vc aplica suas regras normalmente... derepente vc pode criar as regras por IP:

    iptables -t nat -A PREROUTING -s 192.168.1.2 -p tcp --dport 80 -j REDIRECT --to-port 3128

  6. #6

    Padrão proxy transparente e controle de mac address

    Opa pessoal,

    O visitante era eu... esquci de logar!!!

    [] Dotta :twisted: