BFW Firewall & Router

[jurek]

W konfiguracji serwera DHCP nie ma mozliwosci blokowania nieznanych komputerow. Mozna oczywiscie to obejsc dodajac wpisy do firewalla, jednak jak by nie patrzyc jest to troche uciazliwe. Najpierw musimy przydzielic danemu komputerowi IP w ustawieniach serwera DHCP, nastepnie ponownie dodac MAC adres np. w Advanced Firewall Configuration.
Dla tego zrobilem maly skrypt ktory pobiera sobie dane z konfiguracji serwera DHCP i automatycznie tworzy wpisy iptables.

Código: Selecionar todos

#!/bin/sh

IPTABLES=/usr/sbin/iptables
#IPTABLES=echo
# Kasowanie starych wpisow
$IPTABLES -F user-filter
# funkcja ktora odczytuje ip oraz mac adres z pliku /etc/dnsmasq.conf
macfilter() {
while read line;
do
HOST=`echo $line | grep "dhcp-host"`
MAC=`echo $HOST | cut -f 2 -d = | cut -f 1 -d ,`
IP=`echo $HOST | cut -f 3 -d ,`
if [ $MAC ]; then
   if [ $IP ]; then
   $IPTABLES -A user-filter -s $IP --match mac --mac-source $MAC -j RETURN
   fi
fi
done < /etc/dnsmasq.conf
}
# Odblokowanie portu 67 dla nieznanych maszyn, aby mogly pobrac IP
$IPTABLES -I user-filter -p udp --dport 67 -j RETURN
macfilter
# Zablokowanie dostepu dla nieznanych maszyn
$IPTABLES -A user-filter -i $LAN  -j DROP
# -----------------------------------------


Skrypt mozna wkleic w Custom Firewall Rules, wtedy po kazdej zmianie ustawien serwera DHCP trzeba bedzie klikac Reload Firewall aby skrypt sie uruchomil.

[zwierzak676]

Cześć,

Ja też walcze z tym problem,ze lista DHCP sobie a firewall sobie. Zacząłem szukać na forum, gdzie znalazłem Twój opis i script, dodałem. I u mnie to nie działa. To ze niedziała to szczegół, mnie interesuje dla czego. Pod dodaniu scriptu i reload poiawiły sie wpisy :
Configuring firewall rules...
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `eth0'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `eth0'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `eth0'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `eth0'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `eth0'
Configuring custom firewall rules...
[: #iraq2: unknown operand
Try `iptables -h' or 'iptables --help' for more information.
Warning: wierd character in interface `-j' (No aliases, :, ! or *).
Bad argument `DROP'
Configuring port forwarding for internal hosts...

aby wyjaśnić :iraq2 to nazwa hosta jednego z wielu (mam siec na 18 kompów)- nie wiem czemu go wyżuciła jako bład bo wpisany tak jak inne, eth0 to LAN a eth1 to oko na świat ( mam tylko dwie karty sieciowe ). Gdzieś czytałem ze iptables -f a to jest w skrypcie, nie działa w nie których wersjach brazil. a moze masz inny pomysł? Jak mozesz to odpisz chociaż na jakiej versji Ci sie udało to zaimplementowąć.


Mam ver Brazil FW-2,30 z rds stat z podziałem na statystyk na posczególne hosty. pure-ftp, bez squid, bez L-7

[jurek]

Zmien pierwsze:

Código: Selecionar todos

IPTABLES=/usr/sbin/iptables
#IPTABLES=echo


na

Código: Selecionar todos

#IPTABLES=/usr/sbin/iptables
IPTABLES=echo


Uruchom skrypt i wtedy zobaczysz na ekranie co generuje, bedzie mozna tez sprawdzic co jest niepoprawnego w skladni i dlaczego wywala bledy.
To co zobaczysz na ekranie powinno wygladac mniej wiecej tak:
-I user-filter -p udp --dport 67 -j RETURN
-A user-filter -s 192.168.0.100 --match mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
-A user-filter -s 192.168.0.101 --match mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
-A user-filter -i eth0 -j DROP

Skrypt nie jest idealny, moze sie wywalic przy np. nazwie maszyny zawierajacej spacje, albo znaki specjalne.

[zwierzak676]

Siema,

Dzięki, taki durny bład w sładni . Teraz działa !!! Dokładnie tak jak napisałeś !!! Jeszcze raz dziękuje za pomoc.

[p-avel]

zrobiłem tak jak wyżej efekt jest poprawny po załadowaniu firewalla

-I user-filter -p udp --dport 67 -j RETURN
-A user-filter -s 192.168.0.100 --match mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
-A user-filter -s 192.168.0.101 --match mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
-A user-filter -i eth0 -j DROP

, ale jak zmieniłem maca w karcie to i tak ją pusciło,może to że mam na sztywno ustawiony adres ip?

[jurek]

Popatrz wyzej czy nie ma wpisow ktore by mogly przepuscic ruch mimo ze jest blokowanie.
Ewentualnie zobacz czy do

-A user-filter -i eth0 -j DROP

wpadaja jakies pakiety, jesli interfejs lan to eth0 to powinny tam wpadac wszystkie pakiety ktore pochodza z nieznanych mac adresow