Sziasztok!
Gugliztam, de nem leltem megoldást a következő kérdésre:
Hogyan lehet Iptables-szel az összes MAC címet letiltani, aztán ami nekem kell azt meg engedélyezni.
Utóbbi megy. :)
Valaki segítsen ki!
Köszi!
Üdv: redman
- 2246 megtekintés
Hozzászólások
Én arra szavaznék, hogy amit engedélyezni akarsz, azt engedélyezed, utána meg egy feltétel nélküli teljes drop minden csomagra, oszt csókolom. Mert ha az összes mac-et tiltani akarod, akkor úgyis mindegy, mi van benne...
- A hozzászóláshoz be kell jelentkezni
Oké, ez így is van, de így minden szabályba bele kell tennem, hogy milyen mac címre engedem meg a forgalmat.
Tehát tiltok mindent:
Ha pl engedélyezem a 22-es portot, akkor az minden mac címre vonatkozik (nem jó)
Ha beleteszem, hogy csak xx:xx:xx:xx:xx:xx címre és 22-es portra engedem az jó, de így mac címenként kell újra felsorolnom a szabályokat és ha mondjuk 10 van a mac X 10 szabály lesz, így az adminisztrálás is nehézkes mert (mac címenként is) nagyon hosszú lesz a szabálylista.
Üdv: redman
- A hozzászóláshoz be kell jelentkezni
az elején
iptables -A INPUT -m mac --mac-source !xx:xx:xx:xx:xx:xx -j DROP
aztán az xx:xx... hegylakót (csak egy maradhat) már szabályozhatod
vagy külön láncba rakod a jó mac címet,
a többinek az INPUT/FORWARD/OUTPUT default policy DROP,
és nem kell velük foglalkozni.
egyébként ez egy jó oldal: http://www.linuxweb.hu/linux-2009/halado/netfilter.html
- A hozzászóláshoz be kell jelentkezni
"Oké, ez így is van, de így minden szabályba bele kell tennem, hogy milyen mac címre engedem meg a forgalmat."
Csinalj neki kulon chain-t.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Sorold fel mindet szépen a tiedet hagyd ki és kész is ;-)))
--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.
- A hozzászóláshoz be kell jelentkezni
Azért megnézném, milyen sebességgel processzálja, ha az ÖSSZES lehetséges MAC címet felsorolja. :D
Persze írhat scriptet rá, hogy generáljon fát, de ez akkor is durva megoldás lenne. :D
- A hozzászóláshoz be kell jelentkezni
1, Biztos, hogy MAC-címre akarsz korlátozni?
2, Biztos, hogy iptablest akarsz használni?
3, Tábla létrehoz az engedélyezési szabályrendszerrel (ami bonyolult), te MAC címed megy a táblába, a többi DROP vagy default vagy akármi
- A hozzászóláshoz be kell jelentkezni
Egyszerű MAC cím szűrést szertnék, mint ami a mai routerekben van.
Eddig az volt a megoldás, hogy DHCP van a házi wifin és csak az kap IP-t akinek a mac címe regisztrálva van. (Nem mintha olyan sokan lennének, de akkor is.)
De ha beállítja magának valaki a helyes IP címet, akkor simán eléri a hálózatomat.
Az accespointba természetesen van MAC szűrés, de én központilag szeretném megoldani.
Üdv: redman
- A hozzászóláshoz be kell jelentkezni
iptables -P DROP FORWARD
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
- A hozzászóláshoz be kell jelentkezni