Athunye
Novo Membro
Registrado
18 Mensagens
0 Curtidas
O que você quer dizer com "quando um dos dois não batem" ?
Tem certeza que nenhuma outra regra está "atrapalhando" as coisas aí ?
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
Tenho, a única regra que vem antes dessa é de abrir a rede local, que é diferente dessa máquina que prendo o MAC, Ex:
Ips da rede local: 192.168.1.x/255.255.255.0
Ips da rede sem fio: 192.168.200.x/255.255.255.0
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Mostre todo o script de firewall, por favor.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
#!/bin/bash
firewall_start(){
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -s 192.168.200.1 -m mac --mac-source 00:05:5d:96:62:60 -j ACCEPT
iptables -A INPUT -s 192.168.200.2 -m mac --mac-source 00:4f:6a:00:a8:48 -j ACCEPT
iptables -A INPUT -p tcp --dport (porta aberta) -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.6
iptables -t nat -A POSTROUTING -d 192.168.1.6 -j SNAT --to 192.168.1.10
iptables -A INPUT -p tcp --syn -j DROP
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
;;
"restart"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -s 192.168.200.1 -m mac --mac-source 00:05:5d:96:62:60 -j ACCEPT
iptables -A INPUT -s 192.168.200.2 -m mac --mac-source 00:4f:6a:00:a8:48 -j ACCEPT
Esse trecho está errado. Se o pacote vier da faixa 192.168.1.0, nenhuma outra regra será analisada.
Tente assim:
iptables -N PrendeMac
iptables -A PrendeMac -s 192.168.200.1 -m mac --mac-source 00:05:5d:96:62:60 -j RETURN
iptables -A PrendeMac -s 192.168.200.2 -m mac --mac-source 00:4f:6a:00:a8:48 -j RETURN
iptables -A PrendeMac -j REJECT
iptables -A INPUT -j PrendeMac
iptables -A FORWARD -j PrendeMac
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
Esse trecho está errado. Se o pacote vier da faixa 192.168.1.0, nenhuma outra regra será analisada.
Esta parte é referente aos micros ligados ao servidor, que terão o acesso sem restrição.
Essas regras que você me diz, podem ser adicionadas depois da regra da rede local (192.168.1.0/255.255.255.0)?
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Podem sim. Aliás, eu tb estava errado: não vi que eram faixas IP diferentes.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
Então, a minha regra não está correta ou o mais correto seria utilizar essa que você falou?
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Então, a minha regra não está correta ou o mais correto seria utilizar essa que você falou?
A parte da associação entre MAC e IP fica melhor da forma como falei.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
#!/bin/bash
firewall_start(){
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -N PrendeMac
iptables -A PrendeMac -s 192.168.200.1 -m mac --mac-source 00:05:5d:96:62:60 -j RETURN
iptables -A PrendeMac -s 192.168.200.2 -m mac --mac-source 00:4f:6a:00:a8:48 -j RETURN
iptables -A PrendeMac -j REJECT
iptables -A INPUT -j PrendeMac
iptables -A FORWARD -j PrendeMac
iptables -A INPUT -p tcp --dport (porta aberta) -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.6
iptables -t nat -A POSTROUTING -d 192.168.1.6 -j SNAT --to 192.168.1.10
iptables -A INPUT -p tcp --syn -j DROP
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
;;
"restart"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
Com estas regras os clientes ficam sem navegar. :/
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Explique sua rede. Você tem 2 segmentos de rede aí, ou uma rede wireless e outra cabeada? Pois senão não há muito motivo pra ter 2 faixas de endereços IP.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
Existem dois seguimentos de rede, um para a rede sem fio e outro para a cabeada, dois tipos de rede, como falei. A rede cabeada está com os IPs 192.168.1.x, pois estão ligados ao servidor e quero que não tenham acesso restrito.
A rede sem fio liga os clientes até o servidor por dois APs, os dois operando como bridge e em modos AP+WDS (um ligado ao switch que está ligado ao getway e o outro em uma torre, que ligam os clientes pela rede sem fio), utilizando a faixa 192.168.200.x, pois não queros que eles sem enxerguem. Ativei o Block Relay, para evitar que os próprios clientes se vejam na rede.
Então, fiz um teste para ver como andava a segurança da rede e me deparei com essa: Mesmo usando a prisão de mac ao ip os clientes da rede sem fio continuavam utilizando o msn, porém, não navegavam, o que não era para acontecer. Pois um dos dois endereços estariam diferentes do que está "cadastrado" no firewall.
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
sosouteiro
Membro Senior
Registrado
308 Mensagens
1 Curtida
Sl - 37:5 - Entrega o teu caminho ao Senhor, confia Nele, e o mais Ele fará.
[x] - Debian 5 - Cache-Full - Squid + Thunder 3
[x] - Mikrotik Router OS - MTCNA, to chegando...!
[x] - Sistema Anti-clone em provedores wireless - Mikrotik - VPN + L2TP + IPSec, ESP 3DES + Certificado Digital
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Essa máquina, ela fica entre sua rede e a conexão internet, correto? Que conexão é essa?
A alteração feita pegou o tráfego vindo das tais estações, e passou a impedir que algum pacote cujo IP não batesse com o MAC cadastrado chegasse ao resto do firewall.
Mas tem duas diferenças: enquanto antes você aceitava os pacotes que passavam no teste, sem que eles fossem analisados pelo resto do firewall, e fazia com que os que não passavam no teste passarem pelo resto do firewall, agora os pacotes que passam no teste vão ser analisados pelo resto do firewall, e os que não passam são rejeitados.
Se você diz que agora os clientes pararam de navegar, então só pode acontecer que os pacotes que estão chegando não estão passando no firewall. Isso pode estar acontecendo, por exemplo, se esses pacotes estiverem chegando a partir de um roteador (se vc tiver ligado seu roteador à rede pela porta WAN).
Pacotes que já passaram por um roteador não carregam mais o MAC da estação, mas sim o MAC do último roteador por onde passaram.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o
Blog do Zekke