MASQUERADE por MAC ADDRESS [RESOLVIDO]

valdinei.campos
(usa CentOS)

Enviado em 04/01/2012 - 10:39h

Bom dia;

existe alguma forma de realizar um MASQUERADE atraves do Mac Address?

ja tentei assim:

iptables -t nat -A POSTROUTING -m mac --mac-source 70:5A:B6:25:91:E4 -j MASQUERADE

porem dá erro:

iptables: Invalid argument

verificando nos log do iptables encontro a seguinte linha:

kernel: [572573.980620] ip_tables: mac match: bad hook_mask 16/7

**Detalhes, isso acontece apenas no Debian, caso eu rode esse comando no Centos funciona, veja exemplo apos um iptables -t nat -L:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere MAC 70:5A:B6:25:91:E4

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

alguem pode me ajudar, necessito liberar acesso total a determindada estações, hoje faço isso atraves de MASQUERADE por IP mas isso esta causando problemas, por alguns colaboradores sabem quais IPs sao liberado e estao inserindo manualmente em suas estaçoes de trabalho causando conflito de IP.

renato_pacheco
(usa Debian)

Enviado em 04/01/2012 - 10:59h

Acredito q seja pela versão do seu iptables. Vc pode me dizer qual é a versão do iptables do Debian e do CentOS?

valdinei.campos
(usa CentOS)

Enviado em 04/01/2012 - 11:06h

No Debian: iptables v1.4.2
No CentOS: iptables v1.3.5

Existe alguma forma de fazer downgrade sem impacto, pois o ambiente que possui o Debian esta em produção

renato_pacheco
(usa Debian)

Enviado em 04/01/2012 - 11:10h

Poxa, muito estranho... vou fazer uns testes aki e retorno.

valdinei.campos
(usa CentOS)

Enviado em 04/01/2012 - 11:11h

blz, fico no aguardo

obrigado por enquanto

renato_pacheco
(usa Debian)

Enviado em 04/01/2012 - 11:39h

Olhando aki no manual, segue:

 --mac-source [!] address

              Match   source   MAC   address.    It   must   be  of  the  form

              XX:XX:XX:XX:XX:XX.  Note that this only makes sense for  packets

              coming from an Ethernet device and entering the PREROUTING, FOR-

              WARD or INPUT chains.

 

Ou seja, só aceita se for PREROUTING, FORWARD ou INPUT. O q ele diz até faz sentido, pq endreços MAC trabalham na camada 2 e, tudo q vai pra fora, é camada 3, concorda? O q vc pode fazer para bloquear os fanfarrões é mascarar a rede e impedir q o FORWARD dos determinados MAC saiam pra fora. Ex.:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -j DROP

 

Ae, com certeza, vc impede q esses MAC's saiam da rede, msm estando mascarados. O lance d fazer o downgrade eu não recomendo, pois talvez seja necessário modificar o kernel para uma versão anterior, q não é aconselhável.

valdinei.campos
(usa CentOS)

Enviado em 04/01/2012 - 12:54h

Na verdade meu cernario que é mais ou menos o seguinte:

tenho um servidor de proxy (que funciona perfeitamente)o proxy é usado com forma padrao de acesso, dentro dele tenho minhas acls personalizada.

para caso de clientes liberamos uma faixa priveligiado de IP (esses IPs estao sendo inserido de forma manual em algumas estações.) o fato de ser liberado para esses clientes acesso full devido a variedade de aplicaçoes que sao ultilizada, cada cliente é de um seguimento com aplicaçoes diferentes, muitos deles fazer uso de VPN etc...

o objetivo seria substiruir essa faixa de IP por mac address, pois sendo assim teriamos um controle melhor e facilitava a administração, pois no caso de liberamos o IP teremos que fazer uma reserva no DHCP para determindo IP e MASQUERADE no firewal para o mesmo sair diretamente para WAN.

Nesse caso há alguma diga de um cenario melhor para resolver meu problema

obrigado

renato_pacheco
(usa Debian)

Enviado em 04/01/2012 - 13:10h

Então vc pode fazer isso pelo squid, ao invés do iptables. No squid, vc pode criar acl's referente ao mac, dessa forma:

acl macliberado arp 00:11:22:33:44:55

http_access allow macliberado

 

Ou:

acl macliberado arp "/etc/squid/macliberado.txt"

http_access allow macliberado

 

Lembrando q o arquivo macliberado.txt deve conter os endereços MAC linha por linha.
A liberação da acl deve ser feita antes de qq regra!

valdinei.campos
(usa CentOS)

Enviado em 04/01/2012 - 13:32h

O problema que o Squid e o Iptables sao servidores diferentes, conforme sitado acima esses clientes necessitam de acesso full, como o gateware é o firewall, vou necessitar configurar o proxy nas estações clientes, e nao poderei usar proxy transparente pois uso autenticação LDAP no Squid.

para mim o mais simples seria fazer MASQUERADE atraves do MAC ADDRESS.

renato_pacheco
(usa Debian)

Enviado em 04/01/2012 - 14:03h

Não entendi sua colocação, pois msm q sejam servidores diferentes, funciona da msm forma. A diferença é q, configurado pelo squid, tudo q ele fizer vai t registro e pelo iptables não terá. Eu aconselho liberar pelo squid, pra evitar brechas no seu firewall.

dartanghan
(usa OpenBSD)

Enviado em 10/01/2012 - 11:11h

Buenas!

Respondendo aqui, quem sabe ajude os próximos usuários.

Uma solução para o problema usando IPTABLES é o uso da opção MARK ( --set-mark ).
Com ela podemos marcar os pacotes com determinado MAC Address e usar os pacotes marcados no postrouting.


Abs

valdinei.campos
(usa CentOS)

Enviado em 10/01/2012 - 11:16h

Dartanghan;

Valeu kra

abraços