Urgente!!! Duvidas !!! [RESOLVIDO]

fdmartins
(usa Debian)

Enviado em 20/02/2010 - 13:55h

E ai pessoal!!! Estou com um problema aqui. Tenho um servidor Debian que esta fazendo o trabalho de proxy em uma rede sem fio, esta funcionando blz... o problema que ando quero colocar um cliente como inadiplente ele continua navegando de alguma forma. Ja bloquiei ele no iptables e tmb no squid mais parace que n esta adiantando. A lembrando que o radio o bloqueio funciona blz... mais quero bloquear o cara pelo servidor !!!!

Segue os comandos ja usados

ISSO no iptables

iptables -t filter -i eth1 -A FORWARD -s 192.168.0.12 -m mac --mac-source 00:0E:XX:XX:XX:XX -j ACCEPT

iptables -A input -m mac --mac-source 00:0E:XX:XX:XX:XX -s ! 192.168.0.12 -j DROP

iptables -A input -s 192.168.0.12 -j DROP


Squid

ACL controle arp ''/etc/squid/maccontrole.txt"
http_access deny controle

acl user src 192.168.0.12
http_access deny user

quando eu vejo pelo iptraf ele esta trafegando e tmb pelo controle do radio.

Quero saber se tem algo que posso fazer para bloquear ele pelo servidor!!!! Pois pelo radio e facil !!

Se alguem puder ajudar agradeço!!! Valeu

irado
(usa XUbuntu)

Enviado em 20/02/2010 - 15:24h

ele tem que ser colocado na table FORWARD, como primeiro elemento da tabela.

basicamente, INPUT é para permitir que ele acesse essa máquina.. pra fazer o que aí? já o FORWARD desvia TUDO o que NÃO é para essa máquina para a saída (para ser 'nated, por ex). Por outro lado, vc não disse se está usando proxy transparente; se não estiver, basta que ele o remova do browser e pronto. Ou então êle pode usar um tunel http ou coisa assim.

então vc pode bloquea-lo em FORWARD:
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.12 -o eth0 -j DROP #-->aqui vai a criatura proibida
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -j ACCEPT #--> aqui, quem sobrou

vc pode (também) bloquea-lo na saida:
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.12 -o eth0 -j DROP #--> aqui vai a criatura proibida
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #--> aqui, quem sobrou

note que não estou usando mac.addr, só ip.addr porque (presumo) vc usando dhcp para os clientes, é mais fácil "amarrar" o ip-addr ao mac no servidor dhcp.

suponho que vc possa e/ou ACLs do squid, mas vc pode encontrar informações suficientes aqui:
http://www.squid-cache.org.br/index.php

de qualquer forma, se êle for esperto, pode alterar o mac.addr da placa (se não for, troca a placa - rs). Então conviria mesmo é usar pppoE com radius. E/ou vlans.

divirta-se :)

fdmartins
(usa Debian)

Enviado em 20/02/2010 - 17:04h

Entao se eu fizer esse procedimento o trafego na rede vai parar mesmo se usar um msn ou um torrent !!!! Qual seria a opção para bloquear tmb pelo MAC :???

$IPTABLES -A FORWARD -i eth1 -s 192.168.0.12 -o eth0 -j DROP #-->aqui vai a criatura proibida


Obrigado pela ajuda!!!

fdmartins
(usa Debian)

Enviado em 20/02/2010 - 17:18h

Tenho mais uma pergunta sempre que eu bloquear alguem pelo squid tmb tenho que fazer esse bloqueio no iptables:?

Pois no squid tem uma esse bloco

ACL controle arp "/etc/squid/maccontrole.txt"
http_access deny controle

e falou !!!!

irado
(usa XUbuntu)

Enviado em 22/02/2010 - 12:12h

duas das suas perguntas:

bloquear pelo MAC.addr: IMHO, pode ser facilmente burlado; vc deveria ter dhcp "amarrando" o ip.addr ao mac.addr - o que faz perder um pouco a razão do dhcp.

melhor solução: vlans, multipla no servidor, tunel para cada cliente. Aqui no VOL tem algumas receitas.

mas, uma vez que está insistindo, faça ACLs no squid - também tá cheio de "receitas" no VOL e na 'net.

finalmente: não, se vc está bloqueando a criatura no squid, via ACLs, não precisa se incomodar com o iptables.

davirodrigues
(usa Debian)

Enviado em 22/02/2010 - 15:08h

Cara seguinte, se o seu squid estiver como proxy transparente ele só vai deixar navegar quem vc colocar na lista de ips tipo assim:

acl clientesativos src "/etc/squid/ativos"
.
.
.
http_access allow clientesativos
http_access deny all

assim todos os usuários que não estiverem no arquivo "ativos", não seram liberados, mais se prefirir pelo iptables também tem como, assim:

iptables -I FORWARD -s ip_do_cliente -j DROP

vlw.....