Proxy passando no bloqueio MAC

[mcinfoata]

Bom dia se alguem me ajudar agradeço ....


tenho servidor FC4 com bloqueio de mac e squid transparete

até entao esta funcionando normalmente mais fiz um teste e coloquei uma maquina na rede que seu mac nem ip estao liberados pelo firewall, nao funcinou, mais se eu definir o ip 192.193.10.1 3128 no browser ela navega ...

isso quer dizer que o proxy esta passando transparente nao passa no bloqueio mais se definir o ip ai passa....

o firewall ta basicamente assim:::

iptables -P FORWARD DROP
#Bancada
iptables -t nat -A POSTROUTING -s 192.193.10.252 -j MASQUERADE
iptables -A FORWARD -s 192.193.10.252 -m mac --mac-source 00:0D:87:07:93:17 -j ACCEPT
iptables -A FORWARD -d 192.193.10.252 -j ACCEPT
#FIM
#Squid
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#FIM

pelo que vcs podem ver nao coloquei regras de INPUT nem de OUTPUT sera que é isso ???

aguardo resposta

[mjstudios]

Adcione:

Código :

iptables -P INPUT DROP

e

Código :

iptables -A INPUT -s $IP -d 0/0 -m mac --mac-source $MAC -j ACCEPT

[lucianogf]

cara..

o negócio é deixar a política padrão como DROP, e liberar o q for preciso..

vc precisará de regras de INPUT e FORWARD pra poder fazer uma coisa legal, dependendo da situação será preciso regras de PREROUTING no nat também...

sempre lembrando que a tabela mangle é lida antes da nat q é lida antes da filter...

então atente-se para a ordem dos fatores...

valeu

[mcinfoata]

Obrigado pelos companheiros que estao tesntando me ajudar


apliquei as regras de INPUT no script, mais agora alguem sabe o pq a maquina com o ip 252 nao funciona ??

iptables -F
iptables -P FORWARD DROP
iptables -P INPUT DROP
modprobe iptable_nat
#Bancada
iptables -t nat -A POSTROUTING -s 192.193.10.252 -j MASQUERADE
iptables -A FORWARD -s 192.193.10.252 -m mac --mac-source 00:0D:87:07:93:17 -j ACCEPT
iptables -A FORWARD -s 192.193.10.252 -j ACCEPT
iptables -A INPUT -s 192.193.10.252 -d 0/0 -m mac --mac-source 00:0D:87:07:93:17 -j ACCEPT
#FIM
#Squid
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#FIM
#P2P
iptables -A FORWARD -p tcp -m ipp2p --ipp2p -j DROP
iptables -t mangle -I FORWARD -m ipp2p --ipp2p -j DROP
#FIM



Aguardo reposta,,, Obrigado

[lucianogf]

cara...

essas suas regras precisam ser melhoradas...

- vc não está limpando totalmente o iptables no inicio
- na regra de POSTROUTING, vc não especificou a eth de saída
- vc tem uma redundância nas suas regras de FORWARD
- pra poder testar vc pode comentar a regra de redirecionamento do squid, talvez seu squid não esteja funcionando bem

seria interessante vc colocar em ordem essas suas regras, ajuda até no entendimento delas

valeu

[mcinfoata]

bom dia

em respota ao ultimo participante, nao nao tinha redundancia nenhuma,
nem estava nada errado ...

os outros participantes que me ajudaram no começo falando que eu tinha que aplicar regras do INPUT estavam certos , apliquei e tbem liberei as interfaces locais, e usei regras para estabilizar conexoes ja presentes, ai funcionou,,
mais nao teria conseguido sem a ajuda de vcs, muito obrigado mesmo,,

Valew....

Problema resolvido ..

[lucianogf]

cara...

não sei oq vc entende por redundância, mas as regras que estão abaixo estão em redundância:

iptables -A FORWARD -s 192.193.10.252 -m mac --mac-source 00:0D:87:07:93:17 -j ACCEPT
iptables -A FORWARD -s 192.193.10.252 -j ACCEPT

valeu