A maioria das maquinas tem acesso ou é o inverso? eu acho que seria mais
interessante usar uma politica de DROP, faz um shellscript para definir
as regras e acrescente as linhas abaixo:
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o eth0 -j MASQUERADE
iptables -t filter -P FORWARD DROP
for i in $('cat mac_liberado.txt')
do
iptables -t filter -A FORWARD -m --mac-source $i -j ACCEPT
done
Se tiver outras regras e aconselhavel a colocar depois, lembrando voce
deve por os macs que podem acessar a internet no arquivo
mac_liberado, lembre-se um por linha.
Teste e nos de o retorno.
Abraços.
Allison Vollmann.
Miguel Da Silva - Centro de Matemática escreveu:
Felipe D. Falce escribió:
Tenho um gateway simples para dar acesso a algumas máquinas da minha
rede interna à internet simplesmente fazendo nat. Bem simples como
algumas regras do tipo:
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o eth0 -j MASQUERADE
Maravilha, tudo funciona direitinho até um espertinho resolver
usar o
IP em uma máquina que não deveria ter acesso. Tentei bloquear o acesso
usando:
iptables -t filter-A INPUT -m mac --mac-source a0:12:f5:8b:15:e0 -j
DROP
Mas o espertinho continua com acesso. Qual a maneira mais simples de
bloquear esse acesso? Não gostaria de ter que instalar/compilar nada
pois a máquina que fornece esse acesso é destinada a outro serviço.
Cya!
E porque o espertinho continua tendo acesso?! :)
Geralmente, se a uma regra do iptables não funciona como esperamos é
porque colocamos as regras numa ordem em que deixa "buracos" de
segurança.
Revise isso. Certamente deve haver alguma regra antes da regra "DROP
por mac" que libera o acesso.
Além do mais, dê uma boa bronca nesse usuário.
Até.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
