iptables filter DROP sem efeito

cytron
(usa Slackware)

Enviado em 19/03/2010 - 20:55h

Já ví muitas coisas estranhas, mas regras de iptables não fazerem efeito é a mais assustadora de todas, analise o caso:

AP RTL8186 em bridge, gateway ou qualquer outro modo (testei todos)

portas br0 (teste em bridge), eth0 e wlan0

Quero bloquear todo o tráfego passante, que atravessa da eth0 para wlan0 ou vice-versa ou pela br0...
Logo, tentei sa seguintes regras:

iptables -t filter -A FORWARD -j DROP

iptables -t filter -A FORWARD -i eth0 -j DROP

iptables -t filter -A FORWARD -o wlan0 -j DROP

iptables -t filter -A FORWARD -o eth0 -j DROP

iptables -t filter -A FORWARD -i wlan0 -j DROP

Pedi a paciência e coloquei a política em DROP:

iptables -t filter -P FORWARD DROP

Até coloquei tudo junto, ativei block relay, mesmo assim, assustadoramente... TRAFEGA TUDO!!!

Um simples -L -nv mostra que não houve incidência nos registradores das regras.

Achei que fosse bug do firmware, estou usando APROUTER 6.1, tentei com WAP PRO 5.1 e deu a mesma coisa, testem em 3 rádios, mesma coisa!!! Isso é loucura!

Alguém me explica onde estou errando nessas regras.

Testei o tráfego assim:

Conectei ao AP via cliente com duas máquinas via wireless e coloquei uma terceira máquina na porta lan. Todas enxergaram umas as outras como se estivesse em um switch.

Será bug dos dois firmwares? Será uma conspiraćão do iptables para me desmoralizar?

É tão simples, só quero bloquear tráfego FORWARD e permitir apenas INPUT e OUTPUT.

Ajuda aí galera!

junior
(usa Ubuntu)

Enviado em 19/03/2010 - 21:05h

Deixa eu entender:
Você quer blquear todo o tráfego que sai da eth0 e vai pra wlan0 ou da br0 pra wlan0, certo?
tente isso:

iptables -t nat -A PREROUTING -i wlan0 -j DROP
iptables -A INPUT -i wlan0 -j DROP

Um abraço.

cytron
(usa Slackware)

Enviado em 20/03/2010 - 02:26h

Este é o problema, como se pode ver nas regras que tentei, nada está fazendo efeito. Mesmo assim tentei sua sugestão, não resultou.

Tenho um PC (192.168.0.1) conectado na wlan0 e um pc (192.168.0.2) direto na eth0 deste AP, quero impedir que estes se comuniquem.

Teoricamente um simples iptables -P FORWARD DROP já resolve, no meu servidor slackware funcionou normal. Mas no ap router não tem efeito, os PCs continuam enxergando.

cytron
(usa Slackware)

Enviado em 21/03/2010 - 03:44h

Acho que é bug da versão mesmo, depois de algumas horas simplesmente a regra passou a bloquear... mas só a que está no nat, PRE e POST.

A FORWARD do filter não vai mesmo.

Bom, pelo menos já resolveu por hora, tomara que não pare de funcionar novamente kkkkk.

Testei no AP Router 7.3 e o DROP no FORWARD funciona.

Até

echo 0 > /proc/sys/net/ipv4/ip_forward

não resolveu.