mac address e iptables(SOLUCIONADO)

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
franga
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mar Abr 23, 2013 4:07 pm
Ubicación: Argentina

mac address e iptables(SOLUCIONADO)

Mensaje por franga »

Buenas como andan...
Estoy intentando mejorar mi script de iptables y me surgen una dudas...
El escenario es el siguiente, tengo el squid configurado para que únicamente puedan navegar las mac address declaras. Pero el problema lo tengo con la navegación por https. En el squid hay declarados varios grupos, los que pueden acceder a facebook/twitter y los que no.
Los que no tiene acceso a facebook/twitter si en vez de entrar por http://www.facebook.com entran a https://www.facebook.com pueden entrar y navegar sin problemas, lo mismo pasa con una mac que ni siquiera este declara en el squid, lo que me genera un agujero importante.
Investigando un poco di con una pagina que logro hacer algo parecido, pero no se adaptaba del todo a lo que yo queria hace, el codigo es;

Código: Seleccionar todo

#######
iptables -N HTTPS_BLOQUEO

iptables -I FORWARD -p tcp -m string --string http://www.facebook.com --dport 443 --algo bm -j HTTPS_BLOQUEO
iptables -I FORWARD -p tcp -m string --string http://www.twitter.com --dport 443 --algo bm -j HTTPS_BLOQUEO

mac_especiales=$(egrep -v -E "^#|^$" /etc/squid/list/mac_especiales)
for mac_especiales in $mac_especiales
do
   iptables -I FORWARD -m tcp -p tcp -m mac --mac-source $mac_especiales --dport 443 -j ACCEPT
done

iptables -A HTTPS_BLOQUEO -j DROP
##########
Esto me sirve para bloquear pj facebook y twitter a todos menos a mac_especiales.
Pero lo que yo quisiera hacer es que me bloquee toda mac address que no esten declarada en x archivo, con squid lo podía hacer anteponiendo el símbolo !, pero con iptables no me funca. Alguien tiene idea de como puedo hacerlo?
Espero que me hayan entendido, cualquier cosa avisen..
Les dejo el link de la pagina donde saque la información por si lo quiere consultar o ver ustedes: http://cmt.lugcix.org/?p=526
Muchas gracias a todos.
Saludos.
Última edición por franga el Mar Abr 23, 2013 10:39 pm, editado 2 veces en total.

Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: mac address e iptables

Mensaje por mcun »

te dejo un ejemplo de como trabajar con listas mac e Iptables

http://www.unix.com/security/160564-con ... dress.html

de todos modos las mac son muy fáciles de cambiar, por lo que tu filtro seria muy débil.
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

franga
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mar Abr 23, 2013 4:07 pm
Ubicación: Argentina

Re: mac address e iptables

Mensaje por franga »

Muchas gracias por la respuesta mcum, lo que me pasaste no hace efecto en mi firewall.
La idea del filtro es que únicamente tengan salida a internet las mac address que yo declare en un archivo. Para hacer justamente un filtro mas fuerte y no debil, esta configuracion seria un plus a lo que ya tengo configurado ya que estoy trabajando con drop policy por default y otro filtro en el squid.
Y dado que squid no me filtra HTTPS quiero hacerlo por iptables para cubrir ese bache, quizas lo que quiero hacer es imposible pero primero me quiero romper la cabeza unas cuantas veces...
lo que estuve probando es lo siguiente
iptables -N BLOQUEO
iptables -I FORWARD -d 0.0.0.0/0 -j BLOQUEO
iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx -j ACCEPT
mi mac address
iptables -A BLOQUEO -j REJECT


El problema es que me bloquea absolutamente todo, haciendo caso omiso a la regla ACCEPT de mi mac...
Saludos.

Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: mac address e iptables

Mensaje por mcun »

el ejemplo era solo un ejemplo de trabajo con listas mac tu deberías adaptarlo.

ten presente que las reglas de Iptables se aplican según su posición por lo que la ultima regla anulara la anterior.
dicho lo anterior no se puede indicar a ciegas una regla por que no conocemos tu script completo. Postearlo tampoco garantiza nada ::lol::

un poco de offtopic

lo que intentas hacer es como colgar una lata detrás de la puerta para que cuando se habrá la puerta golpee la lata y escuchar el ruido.
esto es asi porque inventarse una mac es muy fácil e inclusive suplantar otra es igual de facil.

clonar mac en linux

Código: Seleccionar todo

#!/bin/bash
ifconfig eth0 down
ifconfig eth0 hw ether 02:01:02:03:04:08
ifconfig eth0 up
/etc/init.d/networking restart
y para windows existen app que te buscan una mac en la red la clonan y te sirven cafe ::lol::

Entonces tu permites una lista de mac y bloqueas todo lo que no este en la lista el user clona una mac permitida y chau lata :rofl:

No digo con esto que no lo intentes pero me parece que es al santo boton....
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

franga
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mar Abr 23, 2013 4:07 pm
Ubicación: Argentina

Re: mac address e iptables

Mensaje por franga »

mcum te agradezco muchísimo la mano que me diste, es muy cierto lo que vos me decis.
Pero puesto en el escenario de que vaya x persona a un cliente, conecte su pc a la red y pueda entrar a https:google.com.ar o pueda realizar un ping/telnet/ssh/ftp/etc. Me van a querer matar dado que en teoria yo le digo que pc puede tener acceso a internet, si después hace como vos decís un clonado de mac ya es otro nivel. Lo importante era solucionar el primer paso.
Les paso el código que me funciono

Código: Seleccionar todo

iptables -N BLOQUEO
iptables -I FORWARD -o eth2 -j BLOQUEO
for macs in `cat /etc/squid/list/macs`;
do
iptables -I FORWARD -m mac --mac-source $macs  -j ACCEPT
done
# Bloqueo https definidas al resto de la red
iptables -A BLOQUEO -j DROP
eth2 es la boca wan
Tengan en cuenta que esta hecho con INPUT/OUTPUT/FORWARD policy DROP por default, habría que ver si funciona con cualquier configuración extra de iptables y que esta testeado en un ambiente de prueba con dos pc.
Saludos y gracias nuevamente.

Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: mac address e iptables

Mensaje por mcun »

me alego de haber podido ayudarte solo una cosa mas, si consideras que el tema fue resuelto, por favor edita el primer post y agrégale al título (SOLUCIONADO) para que la ayuda que recibiste le sea útil a otros usuarios mediante el uso del buscador. Muchas Gracias
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

Responder
  • Temas similares
    Respuestas
    Vistas
    Último mensaje