El mié, 16-08-2006 a las 15:11 -0300, Sebastian escribió: > Muchas gracias!! con una sola mac me funciono de maravilla. > ahora me surgio otro problema, primero te muestro como me quedo el script: > > MACS_HABILITADAS="/etc/macs.lst" > > for cada_mac in $MACS_HABILITADAS; do > iptables -A FORWARD -i $INTIF -o $EXTIF -m mac --mac-source $cada_mac -j > ACCEPT > done > > Pero al ejecutarlo me dice: > iptables v1.2.11: Bad mac address `/etc/squid/macs.lst' > Estoy convencido que el error viene del formato en el archivo, pero lo he > cambiado y nada. El formato que tiene ahora separa cada mac con un salto de > linea, asi: > 00:11:11:11:11:11 > 00:22:22:22:22:22 > > Por que me puede estar dando ese error? ? porque no listas el archivo,el valor de MACS_HABILITADAS es "/etc/macs.lst" y NO el contenido de ese archivo for cada_mac in `cat /etc/mac.lst`; do blblalala > > gracias!!! > > > > ----- Original Message ----- > From: ""Matías A. Bellone"" <matiasbellone@gmail.com> > To: <debian-user-spanish@lists.debian.org> > Sent: Monday, August 14, 2006 6:43 PM > Subject: Re: Consulta de NAT - Iptables > > > > Sebastian wrote: > >> Buenas! > >> Mediante las siguientes lineas de iptables le doy acceso a internet a > >> toda la red: > >> > >> iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state > >> ESTABLISHED,RELATED -j ACCEPT > >> iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT > >> > >> Lo que necesito hacer es que solo determinadas IPs puedan salir a > >> internet. Es decir debo restringir las dos lineas anteriores para sólo > >> algunos equipos. (si se pudiera hacer por Mac en vez de IP , mejor). No > >> he podido encontrar algo similar en google. Es posible hacer esto? > >> > > > > Si se puede. iptables tiene un módulo de filtrado por IP y por MAC. En > > cuanto a las IP sería algo parecido a eso pero además tenés que agregarle > > > > --source [!] IP-ORIGEN[/BIT-NET-MASK] > > > > ó > > > > --destination [!] IP-DESTINO[/BIT-NET-MASK] > > > > Por la parte de las MAC sólo podés filtrar por MAC de origen en las > > cadenas FORWARD, PREROUTING e INPUT agregando "-m mac" para cargar el > > módulo (que tenés que tener instalado) y después: > > > > --mac-source MAC > > > > La notación es bastante estándar: lo que está encerrado entre corchetes es > > opcional, el ! sirve para negar, BIT-NET-MASK es una máscara de red por si > > querés filtrar más de una IP por medio de una máscara de red (en forma de > > un número entre 1 y 32 que representan la cantidad de bits fijos). > > > >> Muchas gracias!! > > > > Por nada. Cualquier cosa, preguntá de nuevo > > Saludos, > > Toote > > > >> > >> > > > > > > -- > > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org > > with a subject of "unsubscribe". Trouble? Contact > > listmaster@lists.debian.org > > > > > > > > > -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente