Изпечатай

[guzunov]

Имамe малка локална мрежа с 10-ина машини , свързани към интернет през Linux router. Интересува ме , как трябва да опиша в iptables зависимостта: на определено IP от вътрешната мрежа  да съответства определен MAC адрес , и  резултата да е  ACCEPT, а ако не е -съответно DROP. Всички останали ,които не са описани в Iptables ,да нямат достъп до интернет!   Linux-a ми е Suse 9.0 Pro. Изчетох цялото HOWTO netfilter, но от там не разбрах нищо за тази зависимост . Благодаря на всички предварително !

iptables -A INPUT -s 192.168.101.250 -m mac --mac-source ! 00:A0:C9:39:13:42 -j DROP
 redaktirai si ip-tata i mac adresite s tvoite

[dmvic]

Редактирах го, за да си поправя грешките
защо просто на PREROUTING веригата на nat таблицата не сложиш политика дроп и не приемаш само от определени MAC адреси?
Ако трябва да приемаш от интернет ще трябва да добавиш само да приема всичко от картата към него, или по-добре само на портовете, който ти трябват. Тогава праволата ще изглеждат така:
iptables -t nat -P PREROUTING DROP
iptables -t nat -A PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT (по едно правило за всеки MAC адрес)
iptables -t nat -A PREROUTING -i ethX -j ACCEPT (което ти е към интернет, ако искаш всичко)
iptables -t nat -A PREROUTING -i ethX -tcp --dport 80 -j ACCEPT (и съответно още такива правила за всички портове, който искаш отворени)

Предлагам ти това, защото ми звучи като опит да ограничаваш интернета на който не си е плащал от мрежата ти в блока. Така независимо дали са на статични или динамични IP, пак ще можеш да ги ограничаваш, а с DROP политиката ще си предпазиш сървъра от ненужни проблеми.
Да допълня..
Ако все пак ти трябва чак толкова да вържеш IP с MAC адрес  това ще ти трябва като правило, за всеки компютър:
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
Надявам се да съм бил от полза.