Bloquear Internet em alguns usuarios

atlas
(usa Debian)

Enviado em 09/11/2010 - 18:48h

Dai pessoal, estou com um proleminha.... tenho um servidor debian com squid3. gostaria de saber como faço para bloquear apenas a internet de alguns usuarios....
usei este comando: iptables -t nat -A PREROUTING -m mac --mac-source 00:23:AE:FF:A3:7A -j DROP , mas em vez de bloquear a internet bloqueia tudo e como as maquinas precisam acessar a rede interna nao é oq preciso. preciso de um comando ou linha no squid, qualquer coisa que bloqueie apenas a internet de alguns usuarios mas que continue funcionando a rede local... se puderem me ajudar ficarei grato....

maninhx
(usa Slackware)

Enviado em 09/11/2010 - 19:12h

você esqueceu de especificar a porta.
tenta algo assim

iptables -t nat -A PREROUTING -m mac --mac-source 12:34:56:78:90:12 -p tcp --dport 80 -j DROP

desde que sua internet esteja na porta 80, mas como você usa squid muda para porta que você direcionou, normalmente para 3128.

Você também pode bloquear o MAC dentro do squid. Da uma pesquisada aqui no VOL

atlas
(usa Debian)

Enviado em 10/11/2010 - 11:02h

nao funcionou... tem alguma outra maneira???? alguem me ajude por favor....

Leyzen
(usa openSUSE)

Enviado em 11/11/2010 - 22:21h

Ai, BLZ??....Redirecione a porta 80 para a porta do Squid, assim fica mais facil bloquear maquinas na rede individualmente.

Outra dica é você criar uma regra e bloquear por range de ip.
Segue abaixo regra.

iptables -t nat -A PREROUTING -p tcp -m iprange --src-range xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -i ethx --dport 80 -j REDIRECT --to-port 3128

obs.: xxx -> ip que você quer bloquear ex.: 192.168.0.2-192.168.0.10 (vai bloquear os 9 ips)
ethx -> adaptador da sua rede local.
Coloque essa regra no seu firewall.

Com essa regra caso você tire o proxy do navegador a máquina não vai acessar a internet.

Qualquer coisa posta ai...Abraço...

atlas
(usa Debian)

Enviado em 12/11/2010 - 09:01h

meu squid eh tranparent e a porta 80 ja esta redirecionada para a porta 3128, o squid ta rodando perfeitamente e tbm por ip ja consigo bloquear no squid.conf mesmo.
Preciso de uma maneira para bloquear por MAC. Se alguem puder me ajudar ficarei grato.

Leyzen
(usa openSUSE)

Enviado em 12/11/2010 - 09:49h

Já tentou isso?

Squid:
RECOMPILE O SQUID

# ./configure –enable-arp-acl
# make clean
# make

Configurando as regras
As regras adicionadas do arquivo squid.conf ficariam da seguinte maneira:

acl mac1 arp xx:xx:xx:xx:xx:xx
acl mac2 arp yy:yy:yy:yy:yy:yy

http_access deny mac1
http_access deny mac2

Onde:

* mac2: nome dado para identificar a placa de rede xx:xx:xx:xx:xx:xx.
* arp: determina o MAC ADDRESS.
* xx:xx:xx:xx:xx:xx : MAC ADDRESS.

Iptables:

se vc não utiliza um proxy server, e tem tudo mascarado via iptables, segue regras de bloqueio.

#bloqueando mac addresss específico
#iptables -A FORWARD -m mac –mac-source xx-xx-xx-xx-xx-xx -j DROP

atlas
(usa Debian)

Enviado em 12/11/2010 - 15:08h

Leyzen, podes me explicar detalhadamente como se faz a compilaçao do squid???
tem como compilar com ele ja instalado na maquina??? ou tem que desinstalar e depois baixar, compilar e instalar novamente???

maninhx
(usa Slackware)

Enviado em 13/11/2010 - 15:15h

./configure –enable-arp-acl

o comando acima já irá recompilar para o squid usar tabelar arp.

Leyzen
(usa openSUSE)

Enviado em 13/11/2010 - 18:50h

Ola, desculpe a demora...é como o maninhx falo ai, o comando acima já irá recompilar para o squid usar arp.
Abraço.

atlas
(usa Debian)

Enviado em 16/11/2010 - 09:50h

nao estou com acesso ao servidor agora, só mais uma perguntinha... onde posso dar este comando??? em qualquer lugar ou em uma pasta especifica?? instalei o squid3 via apt-get.

atlas
(usa Debian)

Enviado em 16/11/2010 - 14:48h

galera, fiz o seguinte: baixei a versao identica a q tenho instalada no servidor, descompactei e rodei o comando ./configure -enable-arp-acl, mas o seguinte erro ocorreu:
tricolor:/downloads/squid-3.0.STABLE8# ./configure -enable-arp-acl
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... no
checking for mawk... mawk
checking whether make sets $(MAKE)... no
checking how to create a ustar tar archive... gnutar
checking whether to enable maintainer-specific portions of Makefiles... no
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.


Oque pode ser ???