Bloquear MSN por MAC [RESOLVIDO]

maninhx
(usa Slackware)

Enviado em 20/06/2008 - 17:34h

Na minha rede usamos msn em alguns micros especificos nos quais isso se faz necessário. Mas para os demais quero bloquear para que não usem o msn. Acho a melhor maneira de fazer isso por MAC. Liberar msn para os MACs dos micros que precisam e os demais bloquearem. Mas não sem como fazer isso. Alguém pode me ajudar?

ardaz
(usa Debian)

Enviado em 20/06/2008 - 18:48h

Você também pode fazer isso via firewall, ou por ip, dentro do squid se vocÊ utilizar. Detalhe um pouco mais sua estrutura para que possamos ajudá-lo.

maninhx
(usa Slackware)

Enviado em 20/06/2008 - 22:39h

Uso SQUID. Assim tenho uma loja de informática. então os micros dos vendedores e dos adminitradores e também do suporte irão funcionar o msn e os demais não. Como é uma assistência técnica sempre tem micros diferentes na rede que também não quero que acessem o msn e como tenho o dhcp o controle por IP não é uma boa saída. Então tava pensando em bloquear o msn e liberar somente para os MAC necessários.

maninhx
(usa Slackware)

Enviado em 23/06/2008 - 16:27h

Dei uma pesquisada sobre fazer isso e percebe que é mais fácil fazer com a ajuda do iptables.
Então vi que o MSN usa a porta 1863. Achei um artigo bom que segue assim.

Para Bloquear
#iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
#iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT

E para liberar
#iptables -A FORWARD -s 192.168.0.2/24 -p tcp --dport 1863 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.2/24 -d loginnet.passport.com -j ACCEPT

Mas com essas regras eu bloqueio/libero por IP mas quero bloquear/liberar por MAC. Como fazer isso pelo iptables?

o artigo que li é o seguinte.
http://www.vivaolinux.com.br/dicas/verDica.php?codigo=4572

maran
(usa Debian)

Enviado em 23/06/2008 - 16:53h

iptables -t nat -A PREROUTING -p tcp --dport 1863 -m mac --mac-source 00:00:00:00:00:00 -j DROP

iptables -t nat -A PREROUTING -d messenger.hotmail.com -m mac --mac-source 00:00:00:00:00:00 -j DROP

iptables -t nat -A PREROUTING -d 192.168.0.2/24 -m mac --mac-source 00:00:00:00:00:00 -j DROP


?????????????????

maninhx
(usa Slackware)

Enviado em 24/06/2008 - 08:57h

maran.

vlw pela dica. funcionou.

maninhx
(usa Slackware)

Enviado em 24/06/2008 - 09:46h

Maran. Deu certo para mim bloquear os MACs que eu quero.
Mas na verdade eu quero liberar somente para os MACs que eu quero. tentei o seguinte mas não funcionou.

Bloquiei tudo com.
#iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
#iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT

Depois tentei liberar para os MACs com a dica que voce me deu mas não funcionou.

#iptables -t nat -A PREROUTING -p tcp --dport 1863 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

#iptables -t nat -A PREROUTING -d messenger.hotmail.com -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

#iptables -t nat -A PREROUTING -d 192.168.0.2/24 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

Troquei o DROP pelo ACCEPT para ele aceitar mas o MSN não está conectando no MAC que deveria estar liberado.

maran
(usa Debian)

Enviado em 24/06/2008 - 10:32h

Bom vamos la, voce deve ver sua politica antes, veja por este lado.

Tente inverter a ordem primeiro libere os que poderam ter acesso e depois negue os que não teram, pode parecer que não mais isto influencia tambem.

#iptables -t nat -A PREROUTING -p tcp --dport 1863 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

#iptables -t nat -A PREROUTING -d messenger.hotmail.com -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

#iptables -t nat -A PREROUTING -d 192.168.0.2/24 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

Bloquiei tudo com.
#iptables -A FORWARD -s rede -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s rede -d loginnet.passport.com -j DROP

maninhx
(usa Slackware)

Enviado em 24/06/2008 - 11:42h

não funcionou. continua a mesma coisas.

maninhx
(usa Slackware)

Enviado em 25/06/2008 - 16:59h

Vou reexplicar minha dificuldade.

Quer fazer um bloqueio geral do msn na minha rede e depois liberar para alguns micros, mas essa liberação precisa ser feita pelo MAC address. Com squid,iptables ou outra ferramenta desde que funcione ta valendo.Alguém consegue me ajudar?