Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » Пускане на Inet по mac адрес
Тема: Пускане на Inet по mac адрес
Мнение #1 Skip to the next post in this topic.
Написано на: Декември 14 2006, 15:58
emagi

Avatar


Warn 2

Група: Li fans
Мнения: 134
Регистриран: Декември 2006

Оценка: няма

Offline
Пробвах да спра нета по мак адрес,и стана със следния ред!
iptables - A INPUT -s 192.168.2.2 -m mac --mac-source ! 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j DROP

iptables - A INPUT ! -s 192.168.2.2 -m mac --mac-source 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j DROP

iptables - A FORWARD -s 192.168.2.2 -m mac --mac-source ! 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j DROP


iptables - A FORWARD ! -s 192.168.2.2 -m mac --mac-source 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j DROP
Но ако искам да пусна нет само на интерфейс с мак адрес .00:04......,как става?Пробвах по аналогичния начин чрез промяна на политиката,всичко е DROP,само :


iptables - A INPUT -s 192.168.2.2 -m mac --mac-source ! 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j ACCEPT

iptables - A INPUT ! -s 192.168.2.2 -m mac --mac-source 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j ACCEPT

iptables - A FORWARD -s 192.168.2.2 -m mac --mac-source ! 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j ACCEPT


iptables - A FORWARD ! -s 192.168.2.2 -m mac --mac-source 00:04:61:98:0b:07 ! -d 192.168.2.0/24 -j ACCEPT

Но не стана!Как е правилно?
Контакти:  emagi
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Декември 14 2006, 18:04
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
В скрипта първо изчистваш стрите правила
Код: 
#!/bin/bash
#изчистваш старите правила
iptables -F;
iptables -P INPUT ACCEPT;
iptables -P FORWARD ACCEPT;
iptables -P OUTPUT ACCEPT;

iptables -t nat -F;
iptables -t nat -P PREROUTING ACCEPT;
iptables -t nat -P POSTROUTING ACCEPT;
iptables -t nat -P OUTPUT ACCEPT;

iptables -t mangle -F;
iptables -t mangle -P PREROUTING ACCEPT;
iptables -t mangle -P INPUT ACCEPT;
iptables -t mangle -P FORWARD ACCEPT;
iptables -t mangle -P OUTPUT ACCEPT;
iptables -t mangle -P POSTROUTING ACCEPT;

после задаваш политика
Код: 
iptables -t nat -P PREROUTING DROP;

надолу си ги изреждаш
Код: 
iptables -t nat -A PREROUTING -i eth1 -s ИП_то -m mac --mac-source МАК_адресът -j ACCEPT;

тук eth1 е интерфейсът през който влизат заявките в рутера от клиентските машини (този за вътрешната мрежа)
разгледай тук http://www.linux-index.org/cgi-bin....6;st=40
има много блалала в темата но като на човек който си няма понятие така се обяснява,всички важни стъпки са описани.

Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Декември 15 2006, 09:39
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
задаването на политика DROP не е задължително но лично аз така си правя фаерлолът - според мен това е най сигурният начин за изграждане на каквато и да било защита - първо забраняваш всичко и после разрешаваш само нужните неща (иначе казано не проверявай за некоректни данни а проверявай за коректни :))
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Декември 15 2006, 13:10
emagi

Avatar


Warn 2

Група: Li fans
Мнения: 134
Регистриран: Декември 2006

Оценка: няма

Offline
А това "mangle" този ред какво означава,какъв му е смисъла?
iptables -t mangle
И сега пробвах,значи ако задам политика DROP на веригата INPUT има нет,а няма на веригата FORWARD!Явно при мен са малко по различни нещата!Какво да правя от тук нататък???


Редактирано от emagi на Декември 15 2006, 14:36
Контакти:  emagi
WEB  
Мнение #5
Skip to the previous post in this topic. Написано на: Декември 17 2006, 10:56
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
я по-добре напиши всички команди,които се изпълняват след зареждането на системта,защото имам спомен че ти не споделяш нета от рутера с MASQUERADE

Цитат:  (mcwolf @ Октомври 25 2006,09:17)

Цитат:  (gosheto @ Октомври 24 2006,23:23)

един малък върпрос:
не трябва ли в файла firewall, ако бъдат разкоментирани редовете, с които се ограничава маскирането по MAC адрес  
Код: 
#iptables -t nat -A PREROUTING -i eth1 -s ИП_то -m mac --mac-source МАК_адресът -j ACCEPT;

да има
Код: 
iptables -t nat -P PREROUTING DROP;

защото пакетите, които не намерят съвадение в веригата PREROUTING  на таблицата nat пак ще бъдат пропуснати

p.s. може и аз да греша

опс - сори моя грешка напълно правилно
в този ред на мисли,все някой да ме поправи (защото за тези тънкости се иска и знание и практика) аз си мисля,че той иска да пусне нет по мак адрес,след като забрани PREROUTING никой няма да има после разрешава един по-един.


Редактирано от tolostoi на Декември 17 2006, 12:05

Общо 4 отговор(а) от Декември 14 2006, 15:58 до сега
 » Начало » Li Форуми » Help & Support » Networking » Пускане на Inet по mac адрес

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums