Liberação MAC para sair do SQUID, sem fazer referência a IP

RBZ
(usa CentOS)

Enviado em 08/11/2012 - 09:18h

Bom dia galera,

Estou precisando fazer uma liberação por MAC, para que os liberados não passem pelo SQUID.
De principal, isso é para celulares e pads, assim consigo liberar e deixá-los assim sem ter que mexer em nada.

Obs. squid é transparente.


Valeu !

phrich
(usa Slackware)

Enviado em 08/11/2012 - 10:36h

Antes da regra de redirecionamento vc deve acrescentar a regra abaixo (uma para cada mac)

iptables -A FORWARD -m mac --mac-source ENDERECO_MAC -j ACCEPT

RBZ
(usa CentOS)

Enviado em 08/11/2012 - 12:38h

Cara, ficou assim:
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00 -j ACCEPT

Mas não foi não...
Peguei o IP que o cel. está, liberei por IP:
/sbin/iptables -t nat -I PREROUTING -s 192.168.0.114 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -s 192.168.0.114 -o eth1 -j MASQUERADE
/sbin/iptables -I FORWARD -s 192.168.0.114 -j ACCEPT


Por IP ta indo tranquilo !

phrich
(usa Slackware)

Enviado em 08/11/2012 - 12:41h

A regra

iptables -A FORWARD -m mac --mac-source 00:00:00:00:00 -j ACCEPT

Deve estar abaixo desta

/sbin/iptables -t nat -I POSTROUTING -s 192.168.0.114 -o eth1 -j MASQUERADE

Só uma observação, trabalhe com menos A e não com -I e mascare sua saída para toda a rede, ou seja:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

RBZ
(usa CentOS)

Enviado em 08/11/2012 - 12:50h

Estou pegando agora essa parte de linux/squid, conheço nada !

Se eu tiver que por:
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00 -j ACCEPT
Abaixo da:
/sbin/iptables -t nat -I POSTROUTING -s 192.168.0.114 -o eth1 -j MASQUERADE

Eu terei que travar IP também, e queria liberar só usando o MAC, pois se o dispositivo outro dia pegar outro IP, já está liberado.


Porque -A ao invés de -I ?
Essas linhas peguei aqui em outro tópico, não se a diferença, estava procurando um tutorial para ler sobre essas regras, se souber e puder me passar agradeço.

Obrigado.

phrich
(usa Slackware)

Enviado em 08/11/2012 - 12:56h

para essa dúvida, consulte

# man iptables

Se vc está iniciando, é melhor vc entender melhor como o iptables funciona, e já recomendo a vc não utilizar proxy transparente, isso é ilusão...

Se precisar, segue abaixo, esse é para uma autenticação simples, mas vc pode fazer a autenticação no AD, SQL, etc e neste artigo também falo sobre o iptables, acho q vai clarear um pouco:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

RBZ
(usa CentOS)

Enviado em 08/11/2012 - 13:15h

???





Eu era da parte de consultoria de sistemas, e agora estou cuidando geral de uma empresa.
Eu estou acompanhando um cara que está fazendo o firewall/proxy, e a pedidos do patrão, o proxy transparente é indispensável, mas estamos cercando os outros lados.





Vou dar uma olhada assim que puder !

Obrigado pela ajuda !

phrich
(usa Slackware)

Enviado em 08/11/2012 - 13:24h

Como dito o proxy transparente é ilusão... as vezes as pessoas acham que com isso o usuário não terá como burlar o proxy, mas se vc ver no artigo, a outra maneira é muito mais segura e tem um controle muito maior.

RBZ
(usa CentOS)

Enviado em 08/11/2012 - 13:30h

Eu já li alguns artigos sobre o squid.
Não é questão de burlar termos o transparente, é agilidade. Estamos casando firewall/porxy/ad para o que precisamos e com consciência dos nossos usuários. Com certeza é mais seguro não transp. mas para o que precisamos aqui temos que ter.

E não tem problema nenhuma com segurança, banda, etc., o firewall/proxy/ad são para uma visão e controle melhor.
Tanto que interno, temos tudo liberado por enquanto !

Mas valeu pela dica e apoio !

abs !