Автор Тема: ip tables Mac adress filtering  (Прочетена 4799 пъти)

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
ip tables Mac adress filtering
« -: Sep 29, 2009, 21:53 »
 Здравейте на всички!
Още съм доста нов ( и бос) във Linux средите и затова искам да питам ВАС - знаещите, как да си направя Mac adress Filtering чрез iptables на Slackware?
 Четох и в гугъл и се допитах до разни книги и издания и разбрах, че мога да забраня достъпът на даден MAC адрес чрез :
 iptables -A FORWARD -i eth0 -m mac --mac-source 00:0C:F1:6C:CC:7D -j DENY ; Но не успях да намеря точната информация за това как да позволя достъпът на описани МАС адреси, във вътрешна локална мрежа, където раздавам Ip адреси чрез DHCP, а всички други MAC, които не са описани в ip-tables да бъдат дроп-вани...
 До колкото се разрових мисля, че описание за всеки МАС от вида:
iptables -P FORWARD -m -i eth1 mac --mac-source  00:1B:38:4D:11:11 -j ACCEPT
iptables -P FORWARD DROP
#Абонат Х
- би трябвало да работи.
+ добавяне към правилата на
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT за да бъдат приемани всички вече установени връзки... - примерно към Gateway ...
Идеята ми е, да имам готов работещ скрипт, преди да го добавя към правилата за ip-tables, тъй като има абонати които използват вече сървъра и предпочитам да не експериментирам. По-късно смятам да си купя една машина за 50-80лв САМО за експерименти от всякакъв тип. Та можете ли да ми бутнете едно рамо в това което трябва да напиша в ip-tables?
Поздрави на всички и предварително ви благодаря за отделеното време ;)  [_]3
Активен

dvbb

  • Напреднали
  • *****
  • Публикации: 207
  • Nothing else!
    • Профил
Re: ip tables Mac adress filtering
« Отговор #1 -: Sep 29, 2009, 22:11 »
Без устройтво което позволява адресиране на всеки негов порт цялата работа се обезмисля , тък като потребителите могат да си сменят MAC
Активен

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #2 -: Sep 30, 2009, 00:38 »
 Колега, за конкретната ситуация става въпрос за юзъри, които НЕ могат да си сменят МАС адреса ;) Дори и да се научат, като си сменят МАС адреса към един МАС адрес, може да има само едно асоциирано ИП, което значи, че в даден момент, 2 компютъра с един МАС НЕ могат да използват едновременно интернет. Идеята е, когато реша, да мога да изтривам МАС адреса на потребителя от описаните и той да няма интернет... И обратно, човек който физически се е свързал с мрежата, да не може да използва мрежовите ресурси без да бъде описан в ip-tables , т.е. трябва да има позволението ми за да го направи... Това е ;)
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: ip tables Mac adress filtering
« Отговор #3 -: Sep 30, 2009, 01:38 »
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398
последната точка

ПП: Двама потребители с един и същ MAC и ИП адрес *могат* да ползват Интернет, но ще е с големи загуби и забавяне.
« Последна редакция: Sep 30, 2009, 01:41 от VladSun »
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #4 -: Oct 01, 2009, 11:31 »
Добре а какво трябва да означават тези неща:
# run KERNEL_DIR=<your-kernel-dir> make to compile the userspace tool and the kernel modules
# run KERNEL_DIR=<your-kernel-dir> make install to install the ipset userspace tool and the kernel modules

Нов съм и това не ми говори много. Сървъра ми е компилиран от приятел и аз изведнъж трябва да се науча да правя много неща и без никаква последователност. Кернел Дир - предполагам е директорията на ядрото, която е /usr/src/... OK.... Какво е userspace tool?  Това инструмента Ip Set ли е ?

Recompile iptables

Задължително ли се прекомпилират след това ip tables?
....Следвайте инструкциите дадени в http://ipset.netfilter.org/install.html и традиционното пачване с PoM ....
Какво значи "традиционното пачване с PoM" ?
За мен статията не е обяснена, като за начинаещи (а тя може би и изобщо не е за такива), но все пак искам (и трябва) да направя МАС адрес филтрация.
Благодаря на всички за помоща...
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: ip tables Mac adress filtering
« Отговор #5 -: Oct 01, 2009, 11:40 »
Прав си, статията не е за начинаещи :)
На теб ти трябва само IPSET - т.е. следваш само и *стриктно* инструкциите от http://ipset.netfilter.org/install.html (т.е. това за "PoM"-а не ти трябва)

Ако не ти се занимава виж man arp ;) по-специално -f опцията
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #6 -: Oct 01, 2009, 18:26 »
Ok. 10x VladSun , сядам да чета арп мануала ;)
Активен

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #7 -: Oct 13, 2009, 18:43 »
a колега това за arp таблицата, точно на -f ли трябваше да обърна внимание, защото точно за -f , нищо интересно не намерих, което да може да ми свърши работа като филтриране. Обаче видях /etc/hosts файла и си мисля, дали няма да стане, ако се спре DHCP, на всеки бъде вкаран статичен IP адрес и след това към този статичен IP бъде описан name на host в /etc/hosts - след това, когато реша, го добавям към /etc/hosts.deny иии ? Дали ще се получи ?
Активен

Mitaka

  • Гост
Re: ip tables Mac adress filtering
« Отговор #8 -: Oct 13, 2009, 19:05 »
Правиш си файл, например ip-mac.conf, слагаш го да кажем в /etc, и вътре ошисваш по следния начин"

1.2.3.4 aa:bb:cc:dd:ee:ff
1.2.3.5 aa:bb:cc:dd:ff:ff


сигурно се досещаш какво имам предивд, след което изпълняваш:

arp -f /etc/ip-mac.conf

и си правиш статична АРП таблица, и ако някой от МАК адресите не съответства на съответният ИП адрес... не може да се свърже.

Трябва да добавиш горната команда да се изпълнява при зареждане на Линукса.
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: ip tables Mac adress filtering
« Отговор #9 -: Oct 27, 2009, 11:41 »
Здравей thatsmeufo. Понеже гледам нямаш повече отговори, а и са минали 2 седмици вече, само да те попитам, оправи ли се с MAC адресите ? Сетна ли всичко, за да си работи нормално ? Ако - ДА, супер. Ако - НЕ, и не си се отказал от идеята си, пиши ми ПМ да не спамим тук, ще опитам да ти помогна (нищо сложно няма в това, което ти искаш да реализираш).

Успехи.
« Последна редакция: Oct 27, 2009, 14:17 от Acho »
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #10 -: Oct 28, 2009, 22:21 »
.....

Имаш Лс   ;)
Активен

thatsmeufo

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: ip tables Mac adress filtering
« Отговор #11 -: Nov 24, 2009, 21:41 »
Здравейте!
Мисля че открих къде греша. Default Policy на Forward chain-a ми е Accept, (виж снимката) и след това като напиша долу еди си кой МАС адрес DROP (пак виж снимката) и реално политиката на Forward не го изпълнява, тъй като всичко е Accept...
Ако променя политиката на Forward на default DROP за всички <- по този начин
и сложа ACCEPT за еди си кой MAC адрес (като по този начин опиша всички МАС адреси в мрежата) ще стане ли МАС адрес филтрацията с достъп на "познати и разрешени" МАС адреси, а всички други да бъдат отхвърляни?
Благодаря за вниманието ;)
Активен

vision

  • Новаци
  • *
  • Публикации: 1
    • Профил
Re: ip tables Mac adress filtering
« Отговор #12 -: Dec 01, 2009, 09:24 »
Всички таблци са ACCEPT по подразбиране. Трябва да ги изчистиш преди да добавяш нови правила. Опция: -F i -x.
Проверка на МАК/ИП може да направиш на много места. Примерно: на RAW или mangle PREROUTING.
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source MAC_ADDRESS -j ACCEPT
или
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source ! MAC_ADDRESS -j DROP
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS/МАСК -j ACCEPT

МАК/ИП неможеш да правиш на POSTROUTING.

Както по-горе те посъветваха, ползвай arp -f filename, където filename съдържа ИП/МАК. Това не товари излишно машината. Особено ефективно е при голям трафик или много пакети на секунда.

Активен

mkp

  • Напреднали
  • *****
  • Публикации: 51
    • Профил
Re: ip tables Mac adress filtering
« Отговор #13 -: Dec 01, 2009, 16:27 »
..........

Както по-горе те посъветваха, ползвай arp -f filename, където filename съдържа ИП/МАК. Това не товари излишно машината. Особено ефективно е при голям трафик или много пакети на секунда.

Това може ли да се приложи при статични ип-та? Сега ползвам ip-sentinel за тази цел, но нещо ни ма кефи. :)
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
HTB hashing tables
Настройка на програми
rers32e 3 2495 Последна публикация Mar 23, 2006, 11:25
от
Mac adress
Настройка на хардуер
Mellay 15 4679 Последна публикация Dec 26, 2006, 11:24
от Stash
Pf и state tables
Настройки на софтуер
never_mind 0 1835 Последна публикация Jan 31, 2007, 22:33
от never_mind
Web (URL) filtering
Настройка на програми
h7d8 4 2124 Последна публикация Feb 07, 2009, 14:18
от h7d8
IP Tables
Настройка на програми
Lucifer 7 3134 Последна публикация Feb 17, 2009, 19:27
от Lucifer