Bloquear MAC pelo IPTABLES

madson0123
(usa Outra)

Enviado em 30/01/2012 - 18:47h

Olá pessoal,
Configurei meu firewall e ele está funcionando/bloqueando tudo certinho, mas estou tendo problemas para bloquear o acesso de uma pessoa ao servidor da empresa onde trabalho. Essas tentativas de acesso não são da minha rede interna. No SYSLOG aparece que ele foi bloqueado, mas só porque a porta que ele tentou acessar está bloqueada. Mas não estou conseguindo bloqueá-lo pelo MAC, aparece o MAC dele junto com o MAC do servidor empresa. Ex.: 00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:00. Identifiquei que o MAC dele são as 6 primeiras dezenas, depois do "00". No SYSLOG, mostra que a regra que bloqueou ele foi na CHAIN INPUT, ai eu coloco a regra pra bloquear, iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP, mas não dá certo, a regra não dá erro, mas não bloqueia a pessoa. Gostaria de colocar essa regra, para que não "enchesse" o SYSLOG com esses acessos.
Eu uso o UBUNTU SERVER 10.10.

removido
(usa Nenhuma)

Enviado em 30/01/2012 - 19:14h

Cara um roteador ou uma máquina que faz roteamento não trafego o mac de origem isso só é feito em bridge, em uma rede local.

Quando a informação sai da sua rede interna o mac do computador que está enviando o pacote é descartado.

Então pelo mac fica impossivel fazer isso.

robsonsbrasil
(usa Debian)

Enviado em 30/01/2012 - 21:08h

Boa noite,

Esse tipo de implementação eu nunca fiz, apesar de algo desnecessário, pois o MAC de origem pode trocar a todo instante. Sugiro que você use o failtoban para fazer essa tarefa, nesse você pode configurar vários tipos de bloqueios.

Abraços

Robson Silva

madson0123
(usa Outra)

Enviado em 31/01/2012 - 12:23h

Hum, entendi.
Vou testar o failtoban que o robsonsbrasil me indicou, e se eu tiver êxito posto novamente aqui. Obrigado.

madson0123
(usa Outra)

Enviado em 31/01/2012 - 12:24h

Vou testar aqui, e se tiver êxito no que eu to querendo, ou não =], posto o resultado.
Valeu!

madson0123
(usa Outra)

Enviado em 03/02/2012 - 11:52h

E ae galera,
Fiz alguns testes e cheguei em uma solução temporária/definiva ---->>> POG =].
Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o sed, awk, pra resolver meu problema, pelo menos por agora, fiz o seguinte:

1º comando:
cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips
Com o "cat" ele lista o que tem no syslog, depois, com o "grep", procura pelo log do iptables cujo bloqueio foi feito na chain INPUT, depois com o awk, ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna) e por último com o "sed", ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".

2º comando:
Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei esse script do @Gabriel, que por sinal é muito útil:
http://www.vivaolinux.com.br/script/Localizar-e-excluir-linhas-repetidas-em-um-arquivo-texto
Nele fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente "/tmp/ips" e ele joga as informações no "/etc/hosts.deny". Com isso consegui bloquear os ips que tentavam acessar minha rede através de portas bloqueadas.

Depois coloquei no "crontab" para que ele fizesse isso automático pra mim.

É muito provável que tenham diversos programas que já façam isso, como o fail2ban, mas nesse caso, tive algumas dificuldades em configurá-lo, então meti a mão na massa =].

Caso alguém tenha alguma sugestão, estou no aguardo.