Como el siempre el estimado y bien ponderado Redimido dando soluciones practicas :)
Solo para complementar la solución de Redimido: 1. Podrías hacer DROP por defecto en INPUT, OUTPUT y FORWARD en la tabla 'filter'. 2. Aceptar conexiones ya establecidas. 3. Solo hacer la verificación de MAC/IP en conexiones nuevas. Asi evitarias hacer la revisión a TODOS los paquetes :) y evitarias algo de sobre carga. IPTABLES=$(which iptables) ############## # Punto 1 ############## $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P FORWARD DROP $IPTABLES -t filter -P OUTPUT DROP ############## # Punto 2 ############## $IPTABLES -A INPUT -p tcp -m tcp ! --syn -j ACCEPT $IPTABLES -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m tcp ! --syn -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -p tcp -m tcp ! --syn -j ACCEPT $IPTABLES -A FORWARD -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ############## # Punto 3. Agregar las reglas de Redimido solo para conexiones nuevas ############## $IPTABLES -A FORWARD -i $INT -p tcp -m mac --mac-source $mac -s $ip -m tcp --syn -j SQUIDACEPT $IPTABLES -A FORWARD -i $INT -p tcp -m mac --mac-source $mac -s ! $ip -m tcp --syn -j NATLOGDROP Saludos, Rodolfo 2009/5/17 Gabriel Orozco (Redimido) <[email protected]> > > Yo hice esto en mi trufirewall: > > Variables: > ipt=`which iptables` > INT=tarjeta de red interna > mac=mac de la maquina > ip=ip autorizada para esa mac > > Cadenas: > SQUIDACCEPT=acepta paquetes hacia el squid y algunos protocolos permitidos > NATLOGDROP=bloquea desde la tabla nat. (esta version ya no durará mucho > ya que en los nuevos kenels ya no se aceptará hacer DROP en las tablas > de NAT... todo eso se permitirá solo en la tabla FILTER) > > > $ipt -A PREROUTING --table nat -i $INT -m mac --mac-source $mac -s $ip > -j SQUIDACEPT > $ipt -A PREROUTING --table nat -i $INT -m mac --mac-source $mac -s ! $ip > -j NATLOGDROP > > > Espero te sirva > Gabriel Orozco (Redimido) > > > Fernando Rojas escribió: > > Necesito que una computadora trabaje solamente si la mac esta utilizando una > > ip específica. > > > > Utilizo una pasarale con centos, que hace masquerade. > > > > Se que se puede bloquear utilizando -s 192.205.33.103 --mac-source > > 00:11:09:42:FA:5E -j DROP en iptables... Según mis pruebas bloquea todo, > > desde el acceso a la propia pasarela como para el dnat. > > > > ¿qué otra opción hay para conseguir esto? Tengo entendido que no es muy > > difícil simular una mac y este método tendría una 'pata flaca'. > > > > > > > > > > >
