Limitar IP válido

[Atos]

Bom dia

Tenho uma dúvida que tem me tirado o sono, e como sei que aqui existem vários administradores de provedores wirelles gostaria de compartilhar e saber o que vcs tem feito para resolver a questão de limite de download e upload para clientes com IPs válidos, hoje consigo atribuir os IPs usando em Linux em modo Bridge, porém as regras do CBQ e tbm do iptables para amarrar o IP ao MAC não funcionam, se jogo as mesmas regras através de NAT funciona normal, porem ai não consigo repassar os IPs válidos. Toda ajuda e comentário é benvindo.

[gatoseco]

Posta as configuraçoes que vc usa com iptables !!!


Abraçao

[Atos]

/usr/sbin/iptables -t nat -A POSTROUTING -s 200.x.x.13 -j MASQUERADE
/usr/sbin/iptables -A FORWARD -s 200.x.x.13 -m mac --mac-source 00:0e:2e:76:28
/usr/sbin/iptables -A FORWARD -d 200.x.x.13 -j ACCEPT

[gatoseco]

Vamos por partes entao, para resolver o problema do mac address faça o seguinte:

# Carregando modulos necessarios
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

# Zera as chains existentes
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# Definindo política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permissões de acesso ao firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando acesso aos macs cadastrados
#
# gatoseco
iptables -t filter -A FORWARD -d 0/0 –s 200.x.x.13 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t filter -A FORWARD -d 200.x.x.13 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 200.x.x.13 -d 0/0 -m mac --mac-source 00:0C:01:EC:0D:5A -j ACCEPT
iptables -t nat -A POSTROUTING -s 200.x.x.13 -o eth1 -j MASQUERADE

#Ativa roteamento via kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

#Fechando o resto
iptables -A INPUT -j DROP

Com o exemplo que segue acima voce fara o controle por mac address usando iptables, testa ai e depois veremos o restante dos problemas.

Abraçao

[alexandrecorrea]

muda a topologia da sua rede.. colocar em bridge fica "perigoso" alguem "roubar" o ip do teu router...

quebre sua classe de ip em 2 partes..

a primeira parte vc usa nos servidores e maquinas em contato DIRETO com o roteador (no mesmo switch por ex).. a segunda parte vc "passa para dentro" da sua rede..

adicionando uma rota padrao estatica para a segunda classe no seu router.. apontando para o ip do seu servidor (o primeiro ip da primeira classe)...

ai eh soh subir o primeiro ip da segunda classe na interface INTERNA... e no cliente.. os proximos ips.. e o gateway no cliente sendo o ip q vc subiu na interface INTERNA


assim:

seu bloco: 200.200.200.0/24

no router:

200.200.200.0/25
200.200.200.128/25 rota padrao 200.200.200.1

servidor eth0: 200.200.200.1
servidor eth1: 200.200.200.129

cliente1: 200.200.200.130 gw 200.200.200.129
cliente2: 200.200.200.131 gw 200.200.200.129

...

[hunt3r]

nao sei se ainda é válido, mas abrindo um parênteses....

Código :

/usr/sbin/iptables -t nat -A POSTROUTING -s 200.x.x.13 -j MASQUERADE
/usr/sbin/iptables -A FORWARD -s 200.x.x.13 -m mac --mac-source 00:0e:2e:76:28
/usr/sbin/iptables -A FORWARD -d 200.x.x.13 -j ACCEPT

mais especificametne o

Código :

/usr/sbin/iptables -t nat -A POSTROUTING -s 200.x.x.13 -j MASQUERADE

a partir do momento que tu mascara esse ip... ele passa a "assumir" o ip do servidor que o está roteando... logo, lá se vai o ip real :P

abraços

[lucianogf]

galera...

em vez de atribuir o IP válido diretamete a eth do cliente, não daria para redirecionar o tráfego para o cliente??

[hunt3r]

a meu ver isso ia reter todo o processamento no servidor...
dependendo da maquina, aguenta firme com 20...30 clientes...
mas experimenta por 120...130 já não te serve mais...

outra coisa, como voce pretende fazer isso? atribuir um ip real, a uma iface virtual no server, pra cada cliente com ip real que voce tem? e se forem muitos?
acho mais viável a solução "convencional"

[lucianogf]

mas então...

como o assunto principal pergunta, como limitar a banda?

[hunt3r]

cbq meu amigo...
as regras que ele tava uzando, provavelmente nao eram efetivas pq ele aplicava as regras em cima de um ip real...
por outro lado, mascarava o ip, como eu mencionei ai em cima, fazendo com que o cliente assumisse o ip do próprio servidor, com isso o tc ignorava os filtros para aquele ip...
Eu tenho um servidor wireless, com ips reais conectados a ele, os quais eu controlo via cbq, com eficácia comprovada!

[lucianogf]

ahh sim..

entendi.. é q eu estava pensando em outra coisa...

mas com a divisão da faixa e a atribuição da faixa dividida aos clientes ica mais fácil...

valeu

[Atos]

Obrigado a ajuda de todos e em especial ao "gatoseco" que deu a resposta para o que eu queria, esta funcionando perfeitamente com as dicas informadas. Gostaria também que o Alexandre explicasse melhor o que citou "colocar em bridge fica "perigoso" alguem "roubar" o ip do teu router...", como isso pode acontecer?