[RESOLU] bloquer acces internet mac adress

par **carbone** » 13 Mai 2005 10:13

bonjour,

Je souhaiterai pouvoir bloquer l'accès à internet pour certaines mac adresse.
J'ai utilisé le code donné par Antolien:
/sbin/iptables -I FORWARD -m mac --mac-source 48.44.AA.44.44.AA -j DROP
dans /etc/rc.d/rc.firewall

mais mon problème est que ces machines doivent rester accessible par le vpn. En rajoutant ces lignes, les machines n'ont plus accès à internet mais elles ne sont plus joignables par vpn.

Ne m'y connaissant pas dans iptable, je demande votre aide.

Merci pour vos réponses

par **lioda** » 13 Mai 2005 14:31

Bonjour,

Si je ne m'abuse il suffit que tu annules la dite commande iptables ( tu fais un accept dessus). Ensuite ( sous la condition que tu passes par le proxy) tu ajoutes la ligne suivante :

/sbin/iptables -I INPUT -m mac --mac-source 00.XX.8D.XX.3C.XX -j DROP et le tou est joué.

Tu coupes l'accès Internet à la MAC address concernée et tu laisses ouvert les accès aux VPNs,

Bonne journée,

Lionel

par **lioda** » 13 Mai 2005 14:41

Re,

Par contre je viens de penser à quelque chose , si tu attaques pour ta messagerie un pop et un smtp extèrieur , vérifies que cela passe car j'ai un doute par rapport au proxy et aux protocoles pop et smtp.
Normalement ça doit être Ok,

See ya,

Lionel

par **carbone** » 13 Mai 2005 14:54

merci pour ta réponse,
le problème c'est que je n'utilise pas le proxy, et je ne peux pas l'utiliser car plusieurs fichiers posent problèmes.
Car étant dans le proxy, ils ne sont plus raffraichis, et des sites comme hotmail, ... refuses de s'afficher

Donc, il me faudrait sans utiliser de proxy pouvoir authoriser les accès vpn

par **lioda** » 13 Mai 2005 18:57

Je suppose que tu es en dhcp ... et c'est pour cela que tu utilises la mac address, car sinon une règle tcp avec un ! xxx.xxx.xxx.xxx/24 ... DROP ...ça peut le faire, non ?

See ya,

par **carbone** » 13 Mai 2005 21:52

et oui justement je suis en DHCP et de plus comme je dois bloquer une machine sous windows95, on peut facilement changer son ip mais pas son adresse MAC.

par **loberty** » 13 Mai 2005 23:35

Bonjour,

Pourquoi n'utilise tu pas BlockOutTrafic ?
Il permet, entre autres, le filtrage sur l'adresse mac.

A+

par **carbone** » 14 Mai 2005 08:44

cet addon ne tourne-t'il pas justememnt sur le proxy?

Je compte bien un jour l'installer mais comme c'est un serveur de prod pour une entreprise, je ne peux pas facilement ni rapidement ajouter des plugin mais je peux modifier les règles assez facilement.

par **antolien** » 14 Mai 2005 11:58

Bonjour,

Tu peux préciser les interfaces d'entrée et de sortie, cela permettrai de juste bloquer ce qui sort par l'interface wan.

iptables -I FORWARD -i eth0 -o eth1 -m mac --mac-source 48.44.AA.44.44.AA -j DROP

avec eth0 l'interface d'entrée (lan) et eth1 l'interface de sortie (wan)

cela devrait bloquer l'accès au net mais pas le vpn car normalement cela passe par l'interface ipsec0 en sortie.

par **carbone** » 16 Mai 2005 20:15

merci beaucoup, je vais tester ça et modifier mon titre

[RESOLU] bloquer acces internet mac adress

[RESOLU] bloquer acces internet mac adress

Qui est en ligne ?