Linux за българи: Форуми

 Здравейте на всички!
Още съм доста нов ( и бос) във Linux средите и затова искам да питам ВАС - знаещите, как да си направя Mac adress Filtering чрез iptables на Slackware?
 Четох и в гугъл и се допитах до разни книги и издания и разбрах, че мога да забраня достъпът на даден MAC адрес чрез :
 iptables -A FORWARD -i eth0 -m mac --mac-source 00:0C:F1:6C:CC:7D -j DENY ; Но не успях да намеря точната информация за това как да позволя достъпът на описани МАС адреси, във вътрешна локална мрежа, където раздавам Ip адреси чрез DHCP, а всички други MAC, които не са описани в ip-tables да бъдат дроп-вани...
 До колкото се разрових мисля, че описание за всеки МАС от вида:
iptables -P FORWARD -m -i eth1 mac --mac-source  00:1B:38:4D:11:11 -j ACCEPT
iptables -P FORWARD DROP
#Абонат Х
- би трябвало да работи.
+ добавяне към правилата на
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT за да бъдат приемани всички вече установени връзки... - примерно към Gateway ...
Идеята ми е, да имам готов работещ скрипт, преди да го добавя към правилата за ip-tables, тъй като има абонати които използват вече сървъра и предпочитам да не експериментирам. По-късно смятам да си купя една машина за 50-80лв САМО за експерименти от всякакъв тип. Та можете ли да ми бутнете едно рамо в това което трябва да напиша в ip-tables?
Поздрави на всички и предварително ви благодаря за отделеното време ;)  [_]3

Без устройтво което позволява адресиране на всеки негов порт цялата работа се обезмисля , тък като потребителите могат да си сменят MAC

 Колега, за конкретната ситуация става въпрос за юзъри, които НЕ могат да си сменят МАС адреса ;) Дори и да се научат, като си сменят МАС адреса към един МАС адрес, може да има само едно асоциирано ИП, което значи, че в даден момент, 2 компютъра с един МАС НЕ могат да използват едновременно интернет. Идеята е, когато реша, да мога да изтривам МАС адреса на потребителя от описаните и той да няма интернет... И обратно, човек който физически се е свързал с мрежата, да не може да използва мрежовите ресурси без да бъде описан в ip-tables , т.е. трябва да има позволението ми за да го направи... Това е ;)

http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398
последната точка

ПП: Двама потребители с един и същ MAC и ИП адрес *могат* да ползват Интернет, но ще е с големи загуби и забавяне.

Добре а какво трябва да означават тези неща:
# run KERNEL_DIR=<your-kernel-dir> make to compile the userspace tool and the kernel modules
# run KERNEL_DIR=<your-kernel-dir> make install to install the ipset userspace tool and the kernel modules
Нов съм и това не ми говори много. Сървъра ми е компилиран от приятел и аз изведнъж трябва да се науча да правя много неща и без никаква последователност. Кернел Дир - предполагам е директорията на ядрото, която е /usr/src/... OK.... Какво е userspace tool?  Това инструмента Ip Set ли е ?

Recompile iptables
Задължително ли се прекомпилират след това ip tables?
....Следвайте инструкциите дадени в http://ipset.netfilter.org/install.html и традиционното пачване с PoM ....
Какво значи "традиционното пачване с PoM" ?
За мен статията не е обяснена, като за начинаещи (а тя може би и изобщо не е за такива), но все пак искам (и трябва) да направя МАС адрес филтрация.
Благодаря на всички за помоща...

Прав си, статията не е за начинаещи :)
На теб ти трябва само IPSET - т.е. следваш само и *стриктно* инструкциите от http://ipset.netfilter.org/install.html (т.е. това за "PoM"-а не ти трябва)

Ако не ти се занимава виж man arp ;) по-специално -f опцията

Ok. 10x VladSun , сядам да чета арп мануала ;)

a колега това за arp таблицата, точно на -f ли трябваше да обърна внимание, защото точно за -f , нищо интересно не намерих, което да може да ми свърши работа като филтриране. Обаче видях /etc/hosts файла и си мисля, дали няма да стане, ако се спре DHCP, на всеки бъде вкаран статичен IP адрес и след това към този статичен IP бъде описан name на host в /etc/hosts - след това, когато реша, го добавям към /etc/hosts.deny иии ? Дали ще се получи ?

Правиш си файл, например ip-mac.conf, слагаш го да кажем в /etc, и вътре ошисваш по следния начин"

1.2.3.4 aa:bb:cc:dd:ee:ff
1.2.3.5 aa:bb:cc:dd:ff:ff


сигурно се досещаш какво имам предивд, след което изпълняваш:

arp -f /etc/ip-mac.conf

и си правиш статична АРП таблица, и ако някой от МАК адресите не съответства на съответният ИП адрес... не може да се свърже.

Трябва да добавиш горната команда да се изпълнява при зареждане на Линукса.

Здравей thatsmeufo. Понеже гледам нямаш повече отговори, а и са минали 2 седмици вече, само да те попитам, оправи ли се с MAC адресите ? Сетна ли всичко, за да си работи нормално ? Ако - ДА, супер. Ако - НЕ, и не си се отказал от идеята си, пиши ми ПМ да не спамим тук, ще опитам да ти помогна (нищо сложно няма в това, което ти искаш да реализираш).

Успехи.

.....

Имаш Лс   ;)

Здравейте!
Мисля че открих къде греша. Default Policy на Forward chain-a ми е Accept, (виж снимката) (http://store.picbg.net/thumb/1B/9B/e5a8d8a3484d1b9b.GIF) ($2) и след това като напиша долу еди си кой МАС адрес DROP (пак виж снимката) и реално политиката на Forward не го изпълнява, тъй като всичко е Accept...
Ако променя политиката на Forward на default DROP за всички (http://store.picbg.net/thumb/36/87/67d4aa1b64a23687.GIF) ($2)<- по този начин
и сложа ACCEPT за еди си кой MAC адрес (като по този начин опиша всички МАС адреси в мрежата) ще стане ли МАС адрес филтрацията с достъп на "познати и разрешени" МАС адреси, а всички други да бъдат отхвърляни?
Благодаря за вниманието ;)

Всички таблци са ACCEPT по подразбиране. Трябва да ги изчистиш преди да добавяш нови правила. Опция: -F i -x.
Проверка на МАК/ИП може да направиш на много места. Примерно: на RAW или mangle PREROUTING.
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source MAC_ADDRESS -j ACCEPT
или
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source ! MAC_ADDRESS -j DROP
iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS/МАСК -j ACCEPT

МАК/ИП неможеш да правиш на POSTROUTING.

Както по-горе те посъветваха, ползвай arp -f filename, където filename съдържа ИП/МАК. Това не товари излишно машината. Особено ефективно е при голям трафик или много пакети на секунда.

..........

Както по-горе те посъветваха, ползвай arp -f filename, където filename съдържа ИП/МАК. Това не товари излишно машината. Особено ефективно е при голям трафик или много пакети на секунда.

Това може ли да се приложи при статични ип-та? Сега ползвам ip-sentinel за тази цел, но нещо ни ма кефи. :)