[Ubuntu-BR] Regras no iptables para bloquear micros

Arthur Furlan arthur.furlan em gmail.com
Quinta Março 6 02:38:39 UTC 2008 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Telmo Trindade wrote:
> Arthur, muito obrigado pela atençao mas pelo que entendi voce tá liberando a
> maquina que tiver aquele ip e mac, mas nao é bem isso... o gateway tá
> liberado pra todo mundo, pois todas as maquinas podem acessar a intranet,
> independente de ip, o que eu preciso é algo que só permita os ips
> privilegiados de acessarem se estiverem com os mac certos... deu pra
> entender mais ou menos

Se eu entendi bem, você vai ter que utilizar aquela regra que eu lhe
passei anteriormente. Mas você tem que alterar a política default do seu
firewall para bloquear todas as outras requisições e então, liberar
somente aquelas que você gostaria:

Obs.: supondo que eth0 seja interface interna e eth1 interface externa

Por exemplo, a regra abaixo impede que todos saiam para a internet:

    iptables -P FORWARD DENY

Agora você libera o trafego entre as próprias maquinas da rede:

    iptables -A FORWARD -i eth0 -o eth0 -j ACCEPT

E libera uma máquina com ENDERECO-IP e MAC-ADDRESS para a internet:

    iptables -A FORWARD -i eth0 -o eth1 --dport 80 -s <ENDERECO-IP> -m
mac -mac-source <MAC-ADDRESS> -j ACCEPT


Se eu entendi bem, isso deve fazer mais ou menos o que você quer. Porém
a solução acima é extremamente simples e não deve cobrir todos os casos
da sua rede.

> tudo esta aberto, todo mundo (80 maquinas) pode passar pelo gateway... porem
> se alguem mudar o ip ele sera barrado ... sera que é o caso eu primeiro
> barrar os 15 ips especificos e depois liberar somente se eles tiverem com o
> mac certo.. mas tmbem nao sei como faz isso, rsrsrs.

Em geral são utilizadas duas abordagens:

1. Bloquear tudo e liberar só o que você quer. (exemplo acima)
2. Liberar e bloquear tudo o que você não quer.

Espero ter ajudado,
Atenciosamente,

Arthur Furlan
arthur.furlan em gmail.com

> 
> Em 05/03/08, Arthur Furlan <arthur.furlan em gmail.com> escreveu:
>> 2008/3/5 Arthur Furlan <arthur.furlan em gmail.com>:
>>
>>
>>> iptables -A FORWARD -s <ENDERECO-IP> -m mac -mac-source <MAC-ADDRESS> -j
>>> ACCEPT
>>
>>
>> Esqueci de comentar que nada impede que os usuários alterem o endereço ip
>> e
>> o mac address das suas máquinas para obter acesso a liberado.
>>
>>
>> --
>> Atenciosamente,
>>
>> Arthur Furlan
>> arthur.furlan em gmail.com
>>
>>
>>
>>> --
>>> Atenciosamente,
>>>
>>> Arthur Furlan
>>> arthur.furlan em gmail.com
>>>
>>> 2008/3/5 Telmo Trindade <tr.telmo em gmail.com>:
>>>
>>>> Sou totalmente quibe no iptables e sei que devia pesquisar e tentar
>>>> aprender, mas to envolvido com tanta coisa que ando sem tempo, se
>> alguem
>>>> puder dar uma luz, ai vai meu prob:
>>>>
>>>> Onde trabalho temos acesso a internet e intranet  atraves de outra
>>>> "empresa", lá é onde fica o proxy e nao tenho acesso a ele. Aqui tenho
>>>> só um
>>>> micro de gateway, com 2 placas de rede, uma placa fica ligada na minha
>>>> rede
>>>> local e a outra em um link rádio pra outra empresa.
>>>>
>>>> A questao é que nem todos os micros tem acesso liberado para a
>> internet,
>>>> somente alguns IP's são liberados (15 ips), alguns usuários malandros
>>>> descobriram os ip's liberados e ficam alterando os proprios ip's
>>>> inadvertidamente o que causa conflito com as maquinas que já estao
>>>> ligadas.
>>>>
>>>> Gostaria de criar, no meu gateway, uma regra no iptables amarrando o
>> ip
>>>> ao
>>>> mac adress da placa de rede para esses micros com internet, tipo
>> assim:
>>>> o
>>>> iptables só deixa passar o ip 192.168.0.40 se ele tiver o mac adress
>>>> 00:13:02:1E:BC:88, os outros micros que nao tem ips privilegiados
>>>> continuariam passando pelo gateway normalmente para acesso a intranet.
>>>> Pois
>>>> assim que os malandros perceberem que nao adianta mudar o ip eles irao
>>>> para
>>>> de encher, assim espero.
>>>> --
>>>> Interessado em aprender mais sobre o Ubuntu em português?
>>>> http://wiki.ubuntu-br.org/ComeceAqui  -
>>>> ubuntu-br mailing list
>>>> ubuntu-br em lists.ubuntu.com
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>>
>> --
>> Interessado em aprender mais sobre o Ubuntu em português?
>> http://wiki.ubuntu-br.org/ComeceAqui  -
>> ubuntu-br mailing list
>> ubuntu-br em lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHz1kuHiIxAB175NwRAkNqAJ9YJjPdnfl77bp3F4WDwuuTcuhXWQCgqRFF
d2u83Zo103QHlY2ky0xSC+g=
=E1Y5
-----END PGP SIGNATURE-----

More information about the ubuntu-br mailing list