iptables --mac

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

nixau
Użytkownik
Posty: 28
Rejestracja: 2006-08-21, 17:33

iptables --mac

Post autor: nixau » 2008-10-23, 18:38

Chcę stworzyć regułę dostępu do serwera www znajdującego się wewnątrz sieci LAN, ale z blokadą dla wyznaczonego komputera identyfikującego po konkretnym adresie mac.

Czyli mamy adres dostępny w internecie np. 10.10.10.10 i na porcie 80 jest ogólna strona. Teraz po wpisaniu 10.10.10.10:81 przechodzimy na serwer www, który jest wewnątrz sieci i do niego ma dostęp osoba z konkretnego adresu mac (z ip nie mogę gdyż neostrada zmienia ciągle ip - dlatego po adresie mac ma być identyfikacja - chyba, że jest lepszy sposó na identyfikację)

interfejsy:
eth0 internet
eth1 lan


iptables -A PREROUTING -m mac --mac-source 00:11:22:33:44:55 -t nat -i eth0 -p tcp --dport 81 -j DNAT --to 192.168.1.10:80

iptables -I FORWARD -p tcp -d 192.168.1.10 --dport 80 -j ACCEPT

i jak wpiszę w PREROUTING "-m mac --mac-source 00:11:22:33:44:55" to nie mogę się połączyć z www wewnątrz sieci. Jak wyłączę filtrowanie po mac to łączy się z www wewnątrz sieci.

Co sknociłem ? :)

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: iptables --mac

Post autor: Outlaw » 2008-10-23, 18:46

Ale ta osoba łączy się z zewnątrz czy wewnątrz? Bo jeśli z zewnątrz to maciem nic nie zdziałasz bo jest on maskowany przy każdym przejściu przez jakikolwiek router...

nixau
Użytkownik
Posty: 28
Rejestracja: 2006-08-21, 17:33

Re: iptables --mac

Post autor: nixau » 2008-10-23, 18:50

no właśnie chcę z zewnątrz.

W takim razie skoro nie da rady, to jak mogę udostępnić konkretnym osobą (ze stałym i zmiennym IP), a zablokować innym dostęp z zewnątrz na ten konkretny port ?

pikolo
Użytkownik
Posty: 28
Rejestracja: 2005-08-09, 12:49
Lokalizacja: cz-wa

Re: iptables --mac

Post autor: pikolo » 2008-10-23, 19:39

albo twój komputer nie widzi takiego adresu mac ( różnych przyczyn ) , albo pakiet przychodzący został wcześniej trafiony przez inną regułę iptables w łańcuchu PREROUTING i kompuer przepuścił sygnał . Czy statystyki filtra pokazują wychwytywanie jakichś danych ? .
Ostatnio zmieniony 2008-10-23, 19:40 przez pikolo, łącznie zmieniany 1 raz.

memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: iptables --mac

Post autor: memus » 2008-10-23, 20:32

Kolego od kiedy to po macu przez internet ? Tak się nie da

Awatar użytkownika
bojleros
Użytkownik
Posty: 785
Rejestracja: 2005-08-29, 11:12
Lokalizacja: z widokem na familoki :)
Kontakt:

Re: iptables --mac

Post autor: bojleros » 2008-10-23, 20:57

Zobacz sobie co to jest model OSI. Internet opiera się o IP.

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: iptables --mac

Post autor: Pajaczek » 2008-10-24, 01:10

nixau, albo zrób sobie dostęp do strony na hasło (np. .htaccess), albo jakiś skrypt na stronie, choćby w javie. Różne robi się cuda.

Awatar użytkownika
Sad Mephisto
Administrator
Posty: 2824
Rejestracja: 2004-05-22, 13:24
Lokalizacja: Zabrze
Kontakt:

Re: iptables --mac

Post autor: Sad Mephisto » 2008-10-25, 09:41

nixau, zależy na jak wysokim poziomie bezpieczeństwa Ci zależy. Jak chcesz dać dostęp do jakiejś strony WWW, to faktycznie .htaccess może załatwić sprawę. Jeśli chodzi o jakiś inny port, to ciekawym pomysłem zabezpieczenia jest tzw. port knocking (poczytaj: http://www.ducea.com/2006/07/05/how-to- ... -firewall/ ), lecz poziom bezpieczeństwa tego jest porównywalny (jeśli nie mniejszy) niż w .htaccess. Jak potrzebujesz bezpiecznych rozwiązań, to może pomyśl np. o OpenVPN.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]

ODPOWIEDZ