Автор Тема: Филтриране по MAC чрез iptables (грешка)  (Прочетена 2664 пъти)

globaluty

  • Напреднали
  • *****
  • Публикации: 96
    • Профил
Здравейте,

хванах 2 MAC адреса, които ме помпят здраво чрез всевъзможни измислени IP адреси. Опитах се да ги филтрирам чрез следните команди:

/sbin/iptables -A INPUT -m mac --mac-source 00:30:48:67:2c:ad -j DROP
iptables -A INPUT -m mac --mac-source 00:30:48:67:2c:ad -j DROP

И на двете ми извежда следната грешка:

iptables v1.4.8: couldn't load match '--mac-source'': /lib/xtables/libipt_--mac-source.so: cannot open shared object file: no such file or directory

Липсват софтуер предполагам? Как да го фиксна?
Доколкото разбрах първата команда ще запише записа за постоянно, докато при втората ще бъде изчистен при рестарт. Не съм много на ти с iptables.

Благодаря предварително. :)
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #1 -: Jan 23, 2013, 01:09 »
Това означава, че iptables е компилиран без поддръжка на MAC адреси. Решава се чрез снабдяване с iptables, компилиран с такава поддръжка (инсталиране на подходящ прекомпилиран пакет или ръчно компилиране).
Каква ти е дистрибуцията и откъде се сдоби с такъв iptables?
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #2 -: Jan 23, 2013, 03:52 »
Абе те като са разбирачи, и постоянно си сменят IP-тата за да правят мискинлъци в мрежата, и MAC адресите ще вземат да си сменят. Ами ти нещо доставчик ли си им ? Или е друга хавата ? Че не си обяснил топологията при вас.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

teleport

  • Напреднали
  • *****
  • Публикации: 134
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #3 -: Jan 23, 2013, 09:07 »
mac се филтрира в таблица 'mangle':

/sbin/iptables -t mangle -A PREROUTING -i eth0 -m mac --mac-source 00:30:48:67:2c:ad -j DROP

за да се запише при рестарт при fedora/centos:

service iptables save

Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #4 -: Jan 23, 2013, 09:32 »
mac се филтрира в таблица 'mangle':
Най-често да, но не само там - такова филтриране може да действа и във filter таблицата.

globaluty, забравих да ти кажа за запазването на правилата след рестарт. teleport вече ти е казал единия вариант. Другият вариант е да си ги опишеш в някой init скрипт (файлът rc.local или собствен скрипт в /etc/init.d). Между двете команди, които ти си показал, няма разлика в резултата от изпълнението - сами по себе си и двете няма да запазят резултата след рестарт. Разликата между двете е само пълният път до командата iptables, който пълен път може да помогне командата iptables да се изпълни, ако директорията /sbin не е описана в променливите на средата (по подразбиране много рядък случай).
И за въпросното помпене от тези адреси. С тези правила в iptables може да ограничиш достъпа им след защитната стена, но не и преди нея. Т.е., ако въпросното помпене води до претоварване на твоя компютър от техните заявки, то тези правила могат да ти помогнат за намаляване на натоварването. Но ако въпросното помпене води до препълване на интернет канала ти, то това ще продължи и при наличието на тези правила, и спасението е в правила при твоя интернет доставчик.
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

globaluty

  • Напреднали
  • *****
  • Публикации: 96
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #5 -: Jan 23, 2013, 11:17 »
Здравейте,

благодаря за информацията. Наясно съм, че при препълване на канала, филтрирането по MAC няма да свърши работата. Работата е там, че ми правиха трафик общо 10Mbits с по 10 000 пакета на входящия и изходящия трафик (общо 20 000/s). И въпреки това, не успях да осъществя отдалечен достъп до машината. Процесорът работеше едва на 3-5%.
Поради тази причина реших да ги огранича по MAC.

След като канала не е запълнен максимално, а машината също не е натоварена, кое забива и прави невъзможна връзката ?

По-късно ще пробвам и по начина, по който ми описахте, когато имам достъп.

Наздраве.  [_]3
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #6 -: Jan 23, 2013, 11:27 »
След като канала не е запълнен максимално, а машината също не е натоварена, кое забива и прави невъзможна връзката ?
Вариантите са твърде много и е напълно излишно да се описват така на сляпо. За целта трябва да дадеш доста по-подробна информация за системата, настройките и организацията в нея, а все още не си отговорил дори на това каква ти е дистрибуцията и откъде се сдоби с този iptables :) Бъди подробен!
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #7 -: Jan 23, 2013, 11:33 »
Малко офтопик, но такива действия от другата страна, не са ли по наказателния? Няма ли кой да ги лови такива? Но нали сме свикнали с всичко сами да се оправяме.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

dilyan

  • Напреднали
  • *****
  • Публикации: 186
  • Distribution: Debian, OpenBSD
  • Window Manager: Gnome, xfce
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #8 -: Jan 23, 2013, 12:17 »
Малко офтопик, но такива действия от другата страна, не са ли по наказателния? Няма ли кой да ги лови такива? Но нали сме свикнали с всичко сами да се оправяме.

:) най-много можеш да репортнеш abuse  на адреса който би ти показал who.is за IP-to ... и до там. Няма на кой да се оплачеш, още повече, че повечето "лоши" са от Китай, Тайван, Индия и от сорта.

Аз съм си правил експеримент, да репортвам скрипт кидис, на доставчика им - холандски, румънски, американски, английски, френски провайдери - никой не си мръдна пръста!

Така че - оправяме се сами.
Активен

globaluty

  • Напреднали
  • *****
  • Публикации: 96
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #9 -: Jan 23, 2013, 14:08 »
Дистрибуцията е следната: debian-6.0.5-amd64-i386-netinst (Linux debian 2.6.32-5-amd64)

iptables е свален от там, където е зададено по default (apt-get install iptables). Мисля, че от ftp.bg.debian.org, не съм сигурен.

Когато пробвам да напиша командата през PuTTy, директно интернетът на машината изчезва и не се възстановява. При командата, която посъветва teleport да използвам, се получи същото. При написване от самия компютър - изписва горе-посочената грешка.

Написах същата команда на виртуална машина на моя комп. и нито грешка се появи, нито интернетът е спрял. За виртуалната машина съм използвал абсолютно същия линукс.

Казвайте с каква информация мога да помагам още.
« Последна редакция: Jan 23, 2013, 14:24 от globaluty »
Активен

sudo

  • Напреднали
  • *****
  • Публикации: 73
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #10 -: Jan 23, 2013, 15:02 »
Когато пробвам да напиша командата през PuTTy, директно интернетът на машината изчезва и не се възстановява. При командата, която посъветва teleport да използвам, се получи същото. При написване от самия компютър - изписва горе-посочената грешка.
Ти сигурен ли си че този MAC адрес не е на някой от интерефейсите на твоята машина, или на доставчика?
Щото ако това е адреса на флуудера то значи той ти е в broadcast domain-a и няма начин да няма начин да не можеш да го уловиш кой е и да му скъсаш ушите.
« Последна редакция: Jan 23, 2013, 15:08 от sudo »
Активен

globaluty

  • Напреднали
  • *****
  • Публикации: 96
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #11 -: Jan 23, 2013, 15:12 »
Когато пробвам да напиша командата през PuTTy, директно интернетът на машината изчезва и не се възстановява. При командата, която посъветва teleport да използвам, се получи същото. При написване от самия компютър - изписва горе-посочената грешка.
Ти сигурен ли си че този MAC адрес не е на някой от интерефейсите на твоята машина?
Щото ако това е адреса на флуудера то значи той ти е в broadcast domain-a и няма начин да няма начин да не можеш да го уловиш кой е и да му скъсаш ушите.

Мда, туко-що и аз установих същото. Няколко реда от лога:

Tue Jan 22 22:06:01 2013; ICMP; eth0; 57 bytes; source MAC address bc5ff42bce36; from 95.111.44.34 to 149.37.243.220; dest unrch (port)
Tue Jan 22 22:06:01 2013; UDP; eth0; 46 bytes; source MAC address 003048672cad; from 185.206.172.6:60096 to 95.111.44.34:www
Tue Jan 22 22:06:01 2013; ICMP; eth0; 57 bytes; source MAC address bc5ff42bce36; from 95.111.44.34 to 185.206.172.6; dest unrch (port)
Tue Jan 22 22:06:01 2013; UDP; eth0; 46 bytes; source MAC address 003048672cad; from 9.179.144.101:60101 to 95.111.44.34:www
Tue Jan 22 22:06:01 2013; ICMP; eth0; 57 bytes; source MAC address bc5ff42bce36; from 95.111.44.34 to 9.179.144.101; dest unrch (port)
Tue Jan 22 22:06:01 2013; UDP; eth0; 46 bytes; source MAC address 003048672cad; from 165.187.108.159:60105 to 95.111.44.34:www
Tue Jan 22 22:06:01 2013; ICMP; eth0; 57 bytes; source MAC address bc5ff42bce36; from 95.111.44.34 to 165.187.108.159; dest unrch (port)

bc5ff42bce36 - на моята машина
003048672cad - на суича ?

Вероятно зададените IP адреси са фалшиви, чуждестранни. Няма как да получавам пакети от чуждестранни IP адреси, след като международният ми канал е спрян и имам само BG Peering.
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #12 -: Jan 23, 2013, 15:17 »
Тя идиотщината става пълна. И наистина е така, никой доставчик не иска да си мръдне и пръстта за юзера.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #13 -: Jan 23, 2013, 16:34 »
Доставчика се пресова по известните начини - 1) Аз сега ще пусна с моите приятели една контраатака срещу тия дето ме тормозят след като вие не вземате мерки, само дето вашия целия канал нищо чудно да клекне и да оставите всичките си клиенти без нет. И 2) Или ще взема да ви сменя като доставчик и да ви направя "реклама" сред клиентите. Ще обмисля дали така докато си спретвам контраатаката. Вие също ще си помислите, нали? Ще си сътрудничим, или ще си пречим?
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Филтриране по MAC чрез iptables (грешка)
« Отговор #14 -: Jan 23, 2013, 17:46 »
Тия дето ще ги филтрираш по MAC са в твоята LAN, нали? Или са някъде в Интернет?
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 3743 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 3565 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 4150 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 4253 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 3291 Последна публикация May 03, 2003, 17:00
от