Iptables liberando apenas MAC cadastrados [RESOLVIDO]

xstocler
(usa Outra)

Enviado em 17/04/2013 - 15:13h

Olá pessoal,
Estou montando um Firewall e gostaria de uma ajuda de vocês,
O Fw está ligado direto no modem que chega o sinal da internet (eth0).

Tenho duas placas de rede:
eth0 = Recebe o sinal da internet.
eth1 = liga em um ap-router no qual irá servir wireless apenas com o MACs cadastrados.


Estou pensando em fazer a seguinte regra no iptables.

bloqueia_mac (){



urlArq=`cat /etc/sysconfig/MACs-Liberados | egrep -v "^[#;]" `;



for mac in $urlArq ; do

      # Use a linha abaixo caso não haja nenhum serviço além de tráfego no servidor.

	iptables -t filter -A INPUT -m mac --mac-source $mac -j DROP 

      	iptables -t filter -A FORWARD -m mac --mac-source $mac -j DROP

done

}

 

Arquivo MACs-Liberados

### SAC

#Sala A

00:01:02:03:04:05



#Sala B

06:07:09:09:10:11



 

O que vocês acham?
Teria alguma outra ideia de como fazer?

stefaniobrunhara
(usa CentOS)

Enviado em 17/04/2013 - 15:37h

A ideia é boa, mas porque você não libera ao em vez de bloquear? seria mais fácil você nasce com o forward DROP para todo mundo e liberar somente o que mac você quer.

Porque hoje em dia é muito fácil você mudar o mac da sua placa, desta forma se o mac não esta liberado, o cara não vai ter como furar seu firewall.

xstocler
(usa Outra)

Enviado em 17/04/2013 - 15:41h

E uma boa.
Poderia me dar um exemplo de como posso fazer?

Não tenho nada no meu IPTABLES, estou criando agora.

alexandregms
(usa Ubuntu)

Enviado em 17/04/2013 - 15:44h

Quanto ao script creio que é a forma mais prática!
Se quiser "exugar" um pouco mais o código, use:

for mac in `cat a.txt | egrep -v "^[#;]" `; do



   # Use a linha abaixo caso nãhaja nenhum serviçaléde trágo no servidor.

   iptables -t filter -A INPUT -m mac --mac-source $mac -j DROP

   iptables -t filter -A FORWARD -m mac --mac-source $mac -j DROP



done

 

stefaniobrunhara
(usa CentOS)

Enviado em 17/04/2013 - 19:03h

O certo e você começar seu firewall com todos as politicas em drop, mas como você esta aprendendo, melhor você começar somente com o forward em drop.

inicie seu firewall desta forma.

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


Aproveitando o código do alexandre:

for mac in `cat a.txt | egrep -v "^[#;]" `; do

iptables -t filter -A FORWARD -m mac --mac-source $mac -j ACCEPT <-só troquei DROP por ACCEPT

done


Eu removi a linha do input, porque ela somente tem função para o servidor, para as estações não faça sentido agora no inicio da sua jornada.

Quando você tiver controle suficiente do forward, você parte para o input, se você não tem serviço instalado no servidor não tem como alguém conectar, se ninguém tem acesso ao servidor, não tem como ele abrir uma porta sem que você queira ou que instale um serviço sem sua permissão, e as portas que tiverem com serviço e porque você quer que seus usuários conectem nela.