perae, voltando a falar em linux... vc pode sim, utilizar varios arquivos com cada uma das informações ou apenas um arquivo que tenha uma linha pra cada micro que tenha separado por um espaço IP MAC Reagra, e usando o AWk pra separar por colunas e tratar os dados de forma a completar lacunas das tuas regras.
----- Original Message ----- From: ms-dos To: [email protected] Sent: Thursday, August 16, 2007 1:32 PM Subject: Re: [iptables-br] Script-bash2 a missão Nossa... Coloca essas máquinas num servidor Active Directory! Tudo isso de máquina pra controlar desse jeito no firewall é uma bagunça! Ou quebrar o script em pedaços! Falou!!! Boa sorte! --- Marcelo Salavee Lemos <[EMAIL PROTECTED]> escreveu: > Srs, > > > > A situação é a seguinte: > > tenho um server com quase 180 maquinas na rede > interna. > Todos os ip's e mac-address são cadastrados, e caso > alguem mude o ip ou > o mac, o servidor me avisa e exibe uma pagina > especifica > para o usuario fazer um chamado tecnico etc etc > etc... > O problema é que tenho que inserir 5 linhas de > regras para cada ip > cadastrado, e imagina o tamanho do arquivo de > firewall que está. > > Estava pensando em algo do tipo: > Arquivo com ip's e mac-address cadastrados: > > more /root/cadastro > > 192.168.0.2 00:11:D8:AB:99:8D PORTARIA-1 > 192.168.0.3 00:11:D9:55:55:55 PORTARIA-2 > 192.168.0.4 11:22:33:44:55:66 PORTARIA-3 > 192.168.0.5 22:33:55:77:55:55 PORTARIA-4 > . > . > . > 192.168.0.250 11:33:44:55:66:77 PORTARIA-5 > > > > Script-: > > > > for IPon in `cat /root/cadastro |grep 192 | awk > '/:/{print $1}'` ; do > (Aqui pego somente os IP's) > > > for MACon in `cat /home/rede-interna |grep 192 | awk > '/:/{print $2}'`; > do (Aqui pego somente os MAC's) > > "O problema é relacionar cada IP com seu MAC > especifico" > > # > ############## 192.168.0.XX ############## > $ipt -t nat -A PREROUTING -i eth1 -s $IPon -m limit > --limit 1/s -m mac > --mac-source ! $MACon -j LOG --log-level 5 > --log-prefix "$IPon-MAC-P > ROIBIDO-:" ; > $ipt -t nat -A PREROUTING -i eth1 -p tcp -s $IPon -m > limit --limit 1/s > -m mac --mac-source ! $MACon -d $CHAMADO > --destination-port 8 > 0 -j ACCEPT ; > $ipt -t nat -A PREROUTING -i eth1 -p tcp -s $IPon -m > limit --limit 1/s > -m mac --mac-source ! $MACon -d 0/0 -m multiport > --dports 443,80 -j > DNAT --to $AVISO:99 ; > $ipt -t nat -A PREROUTING -i eth1 -p udp -s $IPon -m > limit --limit 1/s > -m mac --mac-source ! $MACon -d $DNS --dport 53 -j > ACCEPT > ; > $ipt -t nat -A PREROUTING -i eth1 -s $IPon -m limit > --limit 1/s -m mac > --mac-source ! $MACon -d 0/0 -j DROP ; > # > # > > done > done (deu pra perceber que não manjo nada de > script-bash...) > > > Só que deste jeito as regras são geradas para cada > ip mas com todos os > mac-address.... > > > > > Alguém tem alguma luz? > > > > Abraços, > Marcelo > > > ---------------------------------------------------------- > Esta mensagem pode conter informacao confidencial. > Se voce nao for o destinatario ou a pessoa > autorizada a receber > esta mensagem, nao podera usar, copiar ou divulgar > as informacoes nela > contidas ou tomar qualquer acao baseada nessas > informacoes. Se > voce recebeu esta mensagem por engano, favor avisar > imediatamente o > remetente, respondendo o e-mail e, em seguida, > apague-o. > Agradecemos sua cooperacao. > > This message may contain confidential information. > If you are not the addressee or authorized person to > receive it for the > addressee, you must not use, copy, disclose or take > any action based on > this message or any information herein. If you have > received this message > in error, please advise the sender immediately by > replying this e-mail > message and delete it. > Thanks in advance for your cooperation. > ---------------------------------------------------------- > Faculdade de Medicina USP > ---------------------------------------------------------- > > Flickr agora em português. Você clica, todo mundo vê. http://www.flickr.com.br/ [As partes desta mensagem que não continham texto foram removidas]
