Diego-Garcia
(usa Linux Mint)
Enviado em 18/09/2013 - 14:33h
Boa Tarde Amigos,
Pegando informações aqui e ali eu montei um arquivo com regras para o IPTables.
Só que preciso otimizar uma das linhas e se possível, alguém com mais experiência, poderia adicionar ou retirar algo que esteja errado.
Bem, segue o arquivo e logo abaixo apontarei qual linha preciso modificar;
################################################################################################
#!/bin/sh -e
echo "# Limpando regras anteriores."
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "# Configuracao de interfaces."
IP_range=192.168.2.0/24 # Faixa de IP.
WAN_iface=eth0 # Conexao com a internet.
LAN_iface=eth1 # Conexao com a rede interna.
echo "# Modulo de repasse e conntrack que habilita a parte de status de conexao."
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack
echo "# Policiamento. Tudo parado como sempre, assim, liberado o necessario."
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "# Permitindo acesso do servidor pela internet e pela rede interna."
iptables -t filter -A INPUT -i $WAN_iface -j ACCEPT
iptables -t filter -A OUTPUT -o $WAN_iface -j ACCEPT
iptables -t filter -A INPUT -s $IP_range -j ACCEPT
iptables -t filter -A OUTPUT -d $IP_range -j ACCEPT
echo "# Liberado so o desejado para a rede interna."
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 433 -j ACCEPT
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 8080 -j ACCEPT
#iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 0:65535 -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "# Mascaramento."
iptables -t nat -A POSTROUTING -s $IP_range -o $WAN_iface -j MASQUERADE
echo "# Bloqueando Facebook e IPs."
iptables -N FACEBOOK
iptables -I FORWARD -s $IP_range -j FACEBOOK
for face in `cat /etc/squid3/acls/IPB`;do
iptables -A FACEBOOK -d $face -j REJECT
echo "# Liberando Facebook e IPs via MAC."
iptables -I FORWARD -m mac --mac-source 00:26:18:F7:84:E0 -d $face -j ACCEPT
done
echo "# Redirecionando porta 80 para 3128."
iptables -t nat -A PREROUTING -i $LAN_iface -p tcp --dport 80 -j REDIRECT --to-port 3128
exit 0;
################################################################################################
Bem, a linha que quero otimizar é esta:
iptables -I FORWARD -m mac --mac-source 00:26:18:F7:84:E0 -d $face -j ACCEPT
O que prentendo fazer é apontar para um arquivo que tem uma lista de MACs e assim, esses computadores terão livre acesso ao facebook e outros IP's que eu bloquear.
Agradeço desde já a atenção
Diego Garcia