irado
(usa XUbuntu)
Enviado em 20/02/2010 - 15:24h
ele tem que ser colocado na table FORWARD, como primeiro elemento da tabela.
basicamente, INPUT é para permitir que ele acesse essa máquina.. pra fazer o que aí? já o FORWARD desvia TUDO o que NÃO é para essa máquina para a saída (para ser 'nated, por ex). Por outro lado, vc não disse se está usando proxy transparente; se não estiver, basta que ele o remova do browser e pronto. Ou então êle pode usar um tunel http ou coisa assim.
então vc pode bloquea-lo em FORWARD:
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.12 -o eth0 -j DROP #-->aqui vai a criatura proibida
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -j ACCEPT #--> aqui, quem sobrou
vc pode (também) bloquea-lo na saida:
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.12 -o eth0 -j DROP #--> aqui vai a criatura proibida
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #--> aqui, quem sobrou
note que não estou usando mac.addr, só ip.addr porque (presumo) vc usando dhcp para os clientes, é mais fácil "amarrar" o ip-addr ao mac no servidor dhcp.
suponho que vc possa e/ou ACLs do squid, mas vc pode encontrar informações suficientes aqui:
http://www.squid-cache.org.br/index.php
de qualquer forma, se êle for esperto, pode alterar o mac.addr da placa (se não for, troca a placa - rs). Então conviria mesmo é usar pppoE com radius. E/ou vlans.
divirta-se :)