Fiz alguns testes sem sucesso de liberar nos moldes que vc falou.... A� vai a minha regra para ver se algu�m pode ajudar
Obrigado
Thiago
#/bin/bash #Script de Firewall para bloqueio por MAC address #Adaptado do modelo Criado por Carlos Eduardo Langoni # # IPT=/sbin/iptables PROGRAMA=/home/t4w/firewall/firewall_mac_filtro NET_IFACE=eth1 LAN_IFACE=eth0 MACLIST=/home/t4w/firewall/maclist echo 1 > /proc/sys/net/ipv4/ip_forward case $1 in start) $IPT -F $IPT -t nat -F $IPT -t filter -P FORWARD DROP $IPT -t filter -P INPUT DROP $IPT -t filter -P OUTPUT DROP for i in `cat $MACLIST`; do STATUS=`echo $i | cut -d ';' -f 1` IPSOURCE=`echo $i | cut -d ';' -f 3` MACSOURCE=`echo $i | cut -d ';' -f 2`
#Se status = a entao libera a conexao if [ $STATUS = "a" ]; then $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT $IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT $IPT -t filter -A INPUT -s 0/0 -d $IPSOURCE -j ACCEPT $IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT $IPT -t filter -A OUTPUT -d $IPSOURCE -s 0/0 -j ACCEPT
# Se for = b entao bloqueia o MAC else $IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP $IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP fi done
# SSH $IPT -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT # Fechar todas as outras portas $IPT -A INPUT -p tcp --syn -j DROP
echo "FIREWALL ATIVADO SISTEMA PREPARADO" ;; stop) $IPT -F $IPT -Z $IPT -t nat -F $IPT -t filter -P FORWARD ACCEPT $IPT -t filter -P INPUT ACCEPT $IPT -t filter -P OUTPUT ACCEPT echo "FIREWALL DESCARREGADO SISTEMA LIBERADO" ;; restart) $PROGRAMA stop $PROGRAMA start ;; esac
----- Original Message -----
From: "Elias Andrade" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Wednesday, March 23, 2005 8:30 PM Subject: Re: (linux-br) NAT ao Contr�rio
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Desabilitar a regra de mac para as portas 20/21 (ftp) seria o correto (afinal
tal servico tem de estar rodando), e a seguranca teria de ser feita com base
na documentacao do daemon ftp que sera usado. Um daemon ftp cuidadosamente
configurado roda sem traumas para o servidor.
Em Qua 23 Mar 2005 16:47, Thiago M. Campos escreveu:
Pessoal,
No meu servidor de arquivos tem um firewall que trabalha com uma regra que
--------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
