Acesso Total

1. Acesso Total

cesarnt
(usa Debian)

Enviado em 29/01/2018 - 22:14h

Boa noite, estou montando um pequeno firewall com squid (esta funcionando o que eu montei ate o momento) mais nao consigo fazer uma regra para dar acesso total (passar por fora do firewall) endereços macs, se alguém poder me ajudar, segue o meu firewall (ainda em construção)
Minha rede interna é 192.168.10.0/24 (eth1)
Minha rede externa que recebe internet esta com dhcp no momento e é eth0.

#!/bin/bash
case $1 in
start)
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Ativa Roteamento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#rede interna
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT

#libera samba interno

iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT

iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT

#proxy server

iptables -A OUTPUT -p tcp --sport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

#libera ping
iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

#libera ping para o servidor

iptables -A OUTPUT -p icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

#internet rede interna

iptables -A FORWARD -s 192.168.10.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -d 192.168.10.0/24 -j ACCEPT

#libera ping rede interna para fora
iptables -A FORWARD -s 192.168.10.0/24 -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -d 192.168.10.0/24 -j ACCEPT

#servidor sendo acessado
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#webmin
iptables -A OUTPUT -p tcp --sport 10000 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

;;
stop)

#echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

;;
restart)
$0 stop
$0 start
;;
esac

0 0

Quote

2. Re: Acesso Total

Buckminster
(usa Debian)

Enviado em 29/01/2018 - 22:28h

https://www.vivaolinux.com.br/topico/Squid-Iptables/Liberar-Mac-do-proxy

https://www.vivaolinux.com.br/topico/Squid-Iptables/Liberar-micro-por-MAC-no-IPTABLES

0 0

Quote

3. Iptables

cesarnt
(usa Debian)

Enviado em 04/02/2018 - 13:29h

Boa tarde, tentei tirar o squid e deixar somente o iptables funcionando mais ainda não consigo deixar uma maquina com acesso total pelo mac.

0 0

Quote

4. Re: Acesso Total

Buckminster
(usa Debian)

Enviado em 04/02/2018 - 14:54h

Tu colocou uma regra assim nesta posição:

#Ativa Roteamento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ethX -p tcp --dport 80 -j REDIRECT --to-port 3128 <<< caso teu squid for transparente acrescente esta regra
iptables -t nat -I PREROUTING -i ethX -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp --dport 80 -j ACCEPT

Caso teu Squid for autenticado tu deverá colocar duas regras assim

iptables -I FORWARD -i ethX -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i ethX -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp --dport 80 -j ACCEPT

No lugar de ethX tu coloca a tua placa e no lugar de XX tu coloca o MAC.

0 0

Quote