Bloqueio mac/ip

[Jconline]

existe uma regra mais simples para bloquear mac ip no iptables, to usando redhat 9.0 e se alguem puder ajudar, gostaria que me detalhasse os passos pois to comećando a mexer com linux e tenho dúvidas geralmente onde devo colocar as regras no firewall.

Valeu!!!

[bonny]

faz o seguinte:

# aqui voce seta sua politica de seguranca
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# aqui voce apaga as possiveis regras no kernel
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X

# aqui voce marca INPUT como ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# aqui voce dropa conexoes invalidas
iptables -A INPUT -m state --state INVALID -j DROP

# se voce for fazer via ssh use essa linha abaixo
iptables -A INPUT -p tcp --dport PORTA-SSH -d IP-SERVIDOR -j ACCEPT

# aqui voce libera o ip com o mac amarrado
iptables -A FORWARD -i eth1 -o eth0 -s IP-CLIENTE -m mac --mac-source MAC-ADDRESS-CLIENTE -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -d IP-CLIENTE -j ACCEPT

# aqui voce da internet ao cliente
iptables -t nat -A POSTROUTING -s IP-CLIENTE -j MASQUERADE

se o cara nao conseguir navegar voce adiciona essa linha:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

nao tenho certeza se vai precisar, fiz de cabeca, so testando ...
nao esquece de habilitar o roteamento de pacotes no kernel:
echo 1 > /proc/sys/net/ipv4/ip_forward

abracos

[eml]

veja esta como é simples neste link https://under-linux.org/modules.php?...wtopic&t=23603 ja testei.

[valeonline]

#Bloqueia acesso de todos nao cadastrados
iptables -P FORWARD DROP

#liberando acesso para 10.0.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
iptables -A FORWARD -d 10.0.1.2 -j ACCEPT[/quote]




Esta regra parece bem simples, mas tenho algumas duvidas

1 - onde coloco estas regras no firewall
2 - preciso reiniciar o firewall ou e só salvar o arquivo
3 - preciso instalar algum outro programa

agradeço a quem puder responder.

[bonny]

pra que milhoes de respostas ? o problema do cara ja foi resolvido, ta cheio de gente aqui querendo aparecer

[valeonline]

#Bloqueia acesso de todos nao cadastrados
iptables -P FORWARD DROP

#liberando acesso para 10.0.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
iptables -A FORWARD -d 10.0.1.2 -j ACCEPT

Esta regra parece bem simples, mas tenho algumas duvidas

1 - onde coloco estas regras no firewall
2 - preciso reiniciar o firewall ou e só salvar o arquivo
3 - preciso instalar algum outro programa

agradeço a quem puder responder.[/quote]

[diegofsousarn]

#/bin/bash
#Script de Firewall para bloqueio por MACaddress
#Criado por Carlos Eduardo Langoni
#23/01/2003
#
# Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
# Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
queado o IP, apenas o MAC
#
IPT=/usr/local/sbin/iptables
PROGRAMA=/bin/firewall
NET_IFACE=eth1
LAN_IFACE=eth0
MACLIST=/etc/init.d/maclist
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
iptables -F
iptables -t nat -F
iptables -t filter -P FORWARD DROP
for i in `cat $MACLIST`; do
STATUS=`echo $i | cut -d ';' -f 1`
IPSOURCE=`echo $i | cut -d ';' -f 3`
MACSOURCE=`echo $i | cut -d ';' -f 2`
#Se status = a então eu libera a conexao
if [ $STATUS = "a" ]; then
iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

# Se for = b então bloqueia o MAC
else
iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
fi
done
iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128


echo "FIREWALL ATIVADO SISTEMA PREPARADO"
;;
stop)
iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD ACCEPT
echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
;;
restart)
$PROGRAMA stop
$PROGRAMA start
;;
esac

[douglassantos]

#/bin/bash
#Script de Firewall para bloqueio por MACaddress
#Criado por Carlos Eduardo Langoni
#23/01/2003
#
# Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
# Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
queado o IP, apenas o MAC
#
IPT=/usr/local/sbin/iptables
PROGRAMA=/bin/firewall
NET_IFACE=eth1
LAN_IFACE=eth0
MACLIST=/etc/init.d/maclist
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
iptables -F
iptables -t nat -F
iptables -t filter -P FORWARD DROP
for i in `cat $MACLIST`; do
STATUS=`echo $i | cut -d ';' -f 1`
IPSOURCE=`echo $i | cut -d ';' -f 3`
MACSOURCE=`echo $i | cut -d ';' -f 2`
#Se status = a então eu libera a conexao
if [ $STATUS = "a" ]; then
iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

# Se for = b então bloqueia o MAC
else
iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
fi
done
iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128


echo "FIREWALL ATIVADO SISTEMA PREPARADO"
;;
stop)
iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD ACCEPT
echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
;;
restart)
$PROGRAMA stop
$PROGRAMA start
;;
esac

o que seria essa opcao
PROGRAMA=/bin/firewall
onde achar esse aquivo, aqui no meu naum tem..

Grato

[diegofsousarn]

o que seria essa opcao
PROGRAMA=/bin/firewall
onde achar esse aquivo, aqui no meu naum tem..

Grato

Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal

[sergio]

o que seria essa opcao
PROGRAMA=/bin/firewall
onde achar esse aquivo, aqui no meu naum tem..

Grato

Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal

estranho... no slackware nao tem isso nao...
O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.

[diegofsousarn]

diegofsousarn escreveu:
Citação:
o que seria essa opcao
PROGRAMA=/bin/firewall
onde achar esse aquivo, aqui no meu naum tem..

Grato


Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal


estranho... no slackware nao tem isso nao...
O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.

...é verdade eu olhei no meu agora e realmente não tem na epoca eu esta procurando tanto por isso que nem me preocupei fui logo colocando para funcionar, e funciona!

[douglassantos]

diegofsousarn escreveu:
Citação:
o que seria essa opcao
PROGRAMA=/bin/firewall
onde achar esse aquivo, aqui no meu naum tem..

Grato


Sinceridade não sei pois no meu slack 10.1 eu nem olhei mas funcionou normal


estranho... no slackware nao tem isso nao...
O que provavelmente aconteceu criaram um link no /bin para o script, normalmente encontrado em /etc/rc.d/rc.firewall.

...é verdade eu olhei no meu agora e realmente não tem na epoca eu esta procurando tanto por isso que nem me preocupei fui logo colocando para funcionar, e funciona!

Vou testar to precisando de um esquema desse aii..

Valew

[diegofsousarn]

Eu estou usando ele aqui, e como ele e bem simples de usar pra mim foi uma mão na roda.
eu so faço criar o arquivo que ele pede com o ip/mac dos clientes colocar o script como execultavel adicionar ele no # rc.local
e só listar os usuarios
vc pode ver no no script ele da uma pequena explicação.
e se vc usa proxy descomente uma linha que eu comentei pois eu não uso proxy.

espero ter ajudado.

[valeonline]

Pessoal usei esta dica

https://under-linux.org/modules.php?...wtopic&t=23603

quando dei o comando arp -f /etc/ethers deu certo, só que vi que alguns ips/macs tinha ficado errado, então modifiquei o arquivo e quando voltei a dar o comando arp -f /etc/ethers aparece:

Uso: arp [-vn] [<HW>] [-i <if>] [-a] [<máquina>] <-Mostra cache ARP
arp [-v] [-i <if>] -d <máquina> [pub][nopub] <-Remove entrada ARP
arp [-vnD] [<HW>] [-i <if>] -f [<arquivo>] <-Inclui entrada de arquivo
arp [-v] [<HW>] [-i <if>] -s <máquina> <end_hw> [temp][nopub] <-Inc. Entrada
arp [-v] [<HW>] [-i <if>] -s <máquina> <end_hw> [netmask <nm>] pub <-''-
arp [-v] [<HW>] [-i <if>] -Ds <máquina> <if> [netmask <nm>] pub <-''-
-a mostra (todas as) máquinas no estilo alternativo (BSD)
-e display (all) hosts in default (Linux) style
-s, --set define uma nova entrada ARP
-d, --delete remove a entrada especificada
-v, --verbose listagem detalhada
-n, --numeric don't resolve names
-i, --device especifica a interface de rede (ex: eth0)
-D, --use-device leia <hwaddr> de um dispositivo
-A, -p, --protocol especifica a família de protocolos
-f, --file leia novas entradas de arquivo ou de /etc/ethers

<HW>=Use '-H <hw>' para especificar o tipo de endereço de hw. Default: ether
Lista dos tipos de hardware possíveis (que suportam ARP):
strip (Metricom Starmode IP) ash (Ash) ether (Ethernet)
tr (16/4 Mbps Token Ring) tr (16/4 Mbps Token Ring (Novo)) ax25 (AX.25 AMPR)
netrom (NET/ROM AMPR) rose (AMPR ROSE) arcnet (ARCnet)
dlci (Frame Relay DLCI) fddi (FDDI - Fibra Ãtica) hippi (HIPPI)
irda (IrLAP) x25 (generic X.25)

alguem pode me dizer o que pode ser, ja coloquei no rc local tambem e não resolveu.

Obrigado

:toim: