Si tenemos detectado un abusón de ancho de banda de red en nuestro firewall, podemos bloquearlo con iptables por su IP de origen. Pero hay si su PC está con DHCP y otro día pasa a tener otra IP, ese bloqueo dejará de funcionar y quizás estaremos bloqueando a un usuario que si es legítimo.
En este caso puede ser útil bloquear el acceso al puerto 80 o directamente a cualquier tipo de tráfico a la espera que el infractor venga a preguntarnos porqué no tiene Internet… 🙂
Primero buscamos su MAC en la tabla ARP.
1 2 |
root@fwproxy:~# arp -an | grep "192.168.1.100" ? (192.168.1.100) at 08:00:27:c2:2b:dd [ether] on eth2 |
Un par de ejemplos, bloquear el tráfico HTTP y HTTPS.
1 2 3 4 5 6 7 8 9 |
root@fwproxy:~# iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,443 -m mac --mac-source 08:00:27:c2:2b:dd -j DROP # Visualizamos y vemos como ya ha empezado a filtrar paquetes. root@fwproxy:~# iptables -L FORWARD -v -n Chain FORWARD (policy ACCEPT 8 packets, 622 bytes) pkts bytes target prot opt in out source destination 2 120 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 MAC 08:00:27:C2:2B:DD |
Bloqueamos absolutamente todo el tráfico de esa MAC.
1 2 3 4 5 6 7 |
root@fwproxy:~# iptables -A FORWARD -i eth2 -m mac --mac-source 08:00:27:c2:2b:dd -j DROP root@fwproxy:~# iptables -L FORWARD -v -n Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 52 4368 DROP all -- eth2 * 0.0.0.0/0 0.0.0.0/0 MAC 08:00:27:C2:2B:DD |
[…] Bloquear una dirección MAC con iptables en Linux […]