Re: DROPAR NAT EM TODA REDE (MENOS PARA ALGUNS IPs)
Tudo em ordem ?
Eu trabalho da seguinte forma com o iptables: o que não é especificado
por padrão é negado.
Você pode especificar regras no iptables para somente rotear o icmp
(echo-request, echo-response e outros) forçando assim os usuários a
usarem o proxy (ou usa, ou não navega!).
Adicione regras no iptables para permitir o NAT somente da diretoria,
baseado no IP e no MAC.
Creio que essa seja uma boa solução.
[]'s
Em Sex, 2004-02-27 Ã s 12:57, LISTA NEXCOM1 escreveu:
> Salve lista !
>
> Cá estou novamente com minhas dúvidas duvidosas...
>
> Aqui na empresa, aderimos a pouco tempo o uso do Squid no gerenciamento de
> acesso Ã
> Internet só que como em toda regra existe excessões, a diretoria quer
> navegar livremente (NAT).
>
> A solução que pensei, foi em dropar o acesso à NAT em determinados IPs da
> rede...
> Forçando assim a obrigatoriedade de passar pelo Squid para navegar.
>
> até ai, tudo ok.
>
> Regra que estou usando pra isso:
> iptables -t nat -A POSTROUTING -s 192.168.XX.XX -o eth1 -j DROP
>
> ------------------------------------------------------
>
> Esta é uma maneira artesanal que encontrei pra fazer isso,
> pois aplico essa regra pra cada IP que nao quero que nao aceite NAT.
>
> Meu problema é que aqui na empresa, temos 25 equipamentos e
> com previsão de duplicar esse numero em alguns meses.
>
> Sendo assim, vocês já devem imaginar o transtorno....
>
> --------------------------------------------------------
>
> Existe uma maneira mais fácil de travar isso EM TODA A REDE
> e liberar NAT para determinados IPs ?
>
> Na realidade seria o inverso doque estou fazendo hoje.
>
>
> Não sei se consegui me expressar direito....
>
> ""ACHO QUE Ã? POR ISSO QUE MINHA ESPOSA RECLAMA.... EU DEVERIA TER FEITO
> DIREITO...""
>
>
> []'S
>
> André
>
--
Manoel Lôbo <manoel@fixway.com>
FiXwaY Informática
Reply to: