Титла: ip tables Mac adress filtering Публикувано от: thatsmeufo в Sep 29, 2009, 21:53 Здравейте на всички!
Още съм доста нов ( и бос) във Linux средите и затова искам да питам ВАС - знаещите, как да си направя Mac adress Filtering чрез iptables на Slackware? Четох и в гугъл и се допитах до разни книги и издания и разбрах, че мога да забраня достъпът на даден MAC адрес чрез : iptables -A FORWARD -i eth0 -m mac --mac-source 00:0C:F1:6C:CC:7D -j DENY ; Но не успях да намеря точната информация за това как да позволя достъпът на описани МАС адреси, във вътрешна локална мрежа, където раздавам Ip адреси чрез DHCP, а всички други MAC, които не са описани в ip-tables да бъдат дроп-вани... До колкото се разрових мисля, че описание за всеки МАС от вида: iptables -P FORWARD -m -i eth1 mac --mac-source 00:1B:38:4D:11:11 -j ACCEPT iptables -P FORWARD DROP #Абонат Х - би трябвало да работи. + добавяне към правилата на iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT за да бъдат приемани всички вече установени връзки... - примерно към Gateway ... Идеята ми е, да имам готов работещ скрипт, преди да го добавя към правилата за ip-tables, тъй като има абонати които използват вече сървъра и предпочитам да не експериментирам. По-късно смятам да си купя една машина за 50-80лв САМО за експерименти от всякакъв тип. Та можете ли да ми бутнете едно рамо в това което трябва да напиша в ip-tables? Поздрави на всички и предварително ви благодаря за отделеното време ;) [_]3 Титла: Re: ip tables Mac adress filtering Публикувано от: dvbb в Sep 29, 2009, 22:11 Без устройтво което позволява адресиране на всеки негов порт цялата работа се обезмисля , тък като потребителите могат да си сменят MAC
Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Sep 30, 2009, 00:38 Колега, за конкретната ситуация става въпрос за юзъри, които НЕ могат да си сменят МАС адреса ;) Дори и да се научат, като си сменят МАС адреса към един МАС адрес, може да има само едно асоциирано ИП, което значи, че в даден момент, 2 компютъра с един МАС НЕ могат да използват едновременно интернет. Идеята е, когато реша, да мога да изтривам МАС адреса на потребителя от описаните и той да няма интернет... И обратно, човек който физически се е свързал с мрежата, да не може да използва мрежовите ресурси без да бъде описан в ip-tables , т.е. трябва да има позволението ми за да го направи... Това е ;)
Титла: Re: ip tables Mac adress filtering Публикувано от: VladSun в Sep 30, 2009, 01:38 http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398
последната точка ПП: Двама потребители с един и същ MAC и ИП адрес *могат* да ползват Интернет, но ще е с големи загуби и забавяне. Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Oct 01, 2009, 11:31 Добре а какво трябва да означават тези неща:
# run KERNEL_DIR=<your-kernel-dir> make to compile the userspace tool and the kernel modules # run KERNEL_DIR=<your-kernel-dir> make install to install the ipset userspace tool and the kernel modules Нов съм и това не ми говори много. Сървъра ми е компилиран от приятел и аз изведнъж трябва да се науча да правя много неща и без никаква последователност. Кернел Дир - предполагам е директорията на ядрото, която е /usr/src/... OK.... Какво е userspace tool? Това инструмента Ip Set ли е ? Recompile iptables Задължително ли се прекомпилират след това ip tables? ....Следвайте инструкциите дадени в http://ipset.netfilter.org/install.html и традиционното пачване с PoM .... Какво значи "традиционното пачване с PoM" ? За мен статията не е обяснена, като за начинаещи (а тя може би и изобщо не е за такива), но все пак искам (и трябва) да направя МАС адрес филтрация. Благодаря на всички за помоща... Титла: Re: ip tables Mac adress filtering Публикувано от: VladSun в Oct 01, 2009, 11:40 Прав си, статията не е за начинаещи :)
На теб ти трябва само IPSET - т.е. следваш само и *стриктно* инструкциите от http://ipset.netfilter.org/install.html (т.е. това за "PoM"-а не ти трябва) Ако не ти се занимава виж man arp ;) по-специално -f опцията Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Oct 01, 2009, 18:26 Ok. 10x VladSun , сядам да чета арп мануала ;)
Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Oct 13, 2009, 18:43 a колега това за arp таблицата, точно на -f ли трябваше да обърна внимание, защото точно за -f , нищо интересно не намерих, което да може да ми свърши работа като филтриране. Обаче видях /etc/hosts файла и си мисля, дали няма да стане, ако се спре DHCP, на всеки бъде вкаран статичен IP адрес и след това към този статичен IP бъде описан name на host в /etc/hosts - след това, когато реша, го добавям към /etc/hosts.deny иии ? Дали ще се получи ?
Титла: Re: ip tables Mac adress filtering Публикувано от: Mitaka в Oct 13, 2009, 19:05 Правиш си файл, например ip-mac.conf, слагаш го да кажем в /etc, и вътре ошисваш по следния начин"
1.2.3.4 aa:bb:cc:dd:ee:ff 1.2.3.5 aa:bb:cc:dd:ff:ff сигурно се досещаш какво имам предивд, след което изпълняваш: arp -f /etc/ip-mac.conf и си правиш статична АРП таблица, и ако някой от МАК адресите не съответства на съответният ИП адрес... не може да се свърже. Трябва да добавиш горната команда да се изпълнява при зареждане на Линукса. Титла: Re: ip tables Mac adress filtering Публикувано от: Acho в Oct 27, 2009, 11:41 Здравей thatsmeufo. Понеже гледам нямаш повече отговори, а и са минали 2 седмици вече, само да те попитам, оправи ли се с MAC адресите ? Сетна ли всичко, за да си работи нормално ? Ако - ДА, супер. Ако - НЕ, и не си се отказал от идеята си, пиши ми ПМ да не спамим тук, ще опитам да ти помогна (нищо сложно няма в това, което ти искаш да реализираш).
Успехи. Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Oct 28, 2009, 22:21 Титла: Re: ip tables Mac adress filtering Публикувано от: thatsmeufo в Nov 24, 2009, 21:41 Здравейте!
Мисля че открих къде греша. Default Policy на Forward chain-a ми е Accept, (виж снимката) (http://store.picbg.net/thumb/1B/9B/e5a8d8a3484d1b9b.GIF) ($2) и след това като напиша долу еди си кой МАС адрес DROP (пак виж снимката) и реално политиката на Forward не го изпълнява, тъй като всичко е Accept... Ако променя политиката на Forward на default DROP за всички (http://store.picbg.net/thumb/36/87/67d4aa1b64a23687.GIF) ($2)<- по този начин и сложа ACCEPT за еди си кой MAC адрес (като по този начин опиша всички МАС адреси в мрежата) ще стане ли МАС адрес филтрацията с достъп на "познати и разрешени" МАС адреси, а всички други да бъдат отхвърляни? Благодаря за вниманието ;) Титла: Re: ip tables Mac adress filtering Публикувано от: vision в Dec 01, 2009, 09:24 Всички таблци са ACCEPT по подразбиране. Трябва да ги изчистиш преди да добавяш нови правила. Опция: -F i -x.
Проверка на МАК/ИП може да направиш на много места. Примерно: на RAW или mangle PREROUTING. iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source MAC_ADDRESS -j ACCEPT или iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS -m mac --mac-source ! MAC_ADDRESS -j DROP iptables -t mangle -A PREROUTING -i IF -s IP_ADDRESS/МАСК -j ACCEPT МАК/ИП неможеш да правиш на POSTROUTING. Както по-горе те посъветваха, ползвай arp -f filename, където filename съдържа ИП/МАК. Това не товари излишно машината. Особено ефективно е при голям трафик или много пакети на секунда. Титла: Re: ip tables Mac adress filtering Публикувано от: mkp в Dec 01, 2009, 16:27 .......... Това може ли да се приложи при статични ип-та? Сега ползвам ip-sentinel за тази цел, но нещо ни ма кефи. :) |