Re: DROPAR NAT EM TODA REDE (MENOS PARA ALGUNS IPs)

[Manoel Lôbo <manoel@fixway.com>]

Tudo em ordem ?

Eu trabalho da seguinte forma com o iptables: o que não é especificado
por padrão é negado.

Você pode especificar regras no iptables para somente rotear o icmp
(echo-request, echo-response e outros) forçando assim os usuários a
usarem o proxy (ou usa, ou não navega!).

Adicione regras no iptables para permitir o NAT somente da diretoria,
baseado no IP e no MAC.

Creio que essa seja uma boa solução.

[]'s

Em Sex, 2004-02-27 Ã s 12:57, LISTA NEXCOM1 escreveu:
> Salve lista !
> 
> Cá estou novamente com minhas dúvidas duvidosas...
> 
> Aqui na empresa, aderimos a pouco tempo o uso do Squid no gerenciamento de
> acesso à 
> Internet só que como em toda regra existe excessões, a diretoria quer
> navegar livremente (NAT).
> 
> A solução que pensei, foi em dropar o acesso à NAT em determinados IPs da
> rede...
> Forçando assim a obrigatoriedade de passar pelo Squid para navegar.
> 
> até ai, tudo ok.
> 
> Regra que estou usando pra isso:
> iptables -t nat -A POSTROUTING -s 192.168.XX.XX -o eth1 -j DROP
> 
> ------------------------------------------------------
> 
> Esta é uma maneira artesanal que encontrei pra fazer isso,
> pois aplico essa regra pra cada IP que nao quero que nao aceite NAT.
> 
> Meu problema é que aqui na empresa, temos 25 equipamentos e
> com previsão de duplicar esse numero em alguns meses.
> 
> Sendo assim, vocês já devem imaginar o transtorno....
> 
> --------------------------------------------------------
> 
> Existe uma maneira mais fácil de travar isso EM TODA A REDE
> e liberar NAT para determinados IPs ?
> 
> Na realidade seria o inverso doque estou fazendo hoje.
> 
> 
> Não sei se consegui me expressar direito....
> 
> ""ACHO QUE Ã? POR ISSO QUE MINHA ESPOSA RECLAMA.... EU DEVERIA TER FEITO
> DIREITO...""
> 
> 
> []'S
> 
> André
> 
-- 
Manoel Lôbo <manoel@fixway.com>
FiXwaY Informática