iptables --mac
Moderatorzy: Moderatorzy, Administratorzy
iptables --mac
Chcę stworzyć regułę dostępu do serwera www znajdującego się wewnątrz sieci LAN, ale z blokadą dla wyznaczonego komputera identyfikującego po konkretnym adresie mac.
Czyli mamy adres dostępny w internecie np. 10.10.10.10 i na porcie 80 jest ogólna strona. Teraz po wpisaniu 10.10.10.10:81 przechodzimy na serwer www, który jest wewnątrz sieci i do niego ma dostęp osoba z konkretnego adresu mac (z ip nie mogę gdyż neostrada zmienia ciągle ip - dlatego po adresie mac ma być identyfikacja - chyba, że jest lepszy sposó na identyfikację)
interfejsy:
eth0 internet
eth1 lan
iptables -A PREROUTING -m mac --mac-source 00:11:22:33:44:55 -t nat -i eth0 -p tcp --dport 81 -j DNAT --to 192.168.1.10:80
iptables -I FORWARD -p tcp -d 192.168.1.10 --dport 80 -j ACCEPT
i jak wpiszę w PREROUTING "-m mac --mac-source 00:11:22:33:44:55" to nie mogę się połączyć z www wewnątrz sieci. Jak wyłączę filtrowanie po mac to łączy się z www wewnątrz sieci.
Co sknociłem ?
Czyli mamy adres dostępny w internecie np. 10.10.10.10 i na porcie 80 jest ogólna strona. Teraz po wpisaniu 10.10.10.10:81 przechodzimy na serwer www, który jest wewnątrz sieci i do niego ma dostęp osoba z konkretnego adresu mac (z ip nie mogę gdyż neostrada zmienia ciągle ip - dlatego po adresie mac ma być identyfikacja - chyba, że jest lepszy sposó na identyfikację)
interfejsy:
eth0 internet
eth1 lan
iptables -A PREROUTING -m mac --mac-source 00:11:22:33:44:55 -t nat -i eth0 -p tcp --dport 81 -j DNAT --to 192.168.1.10:80
iptables -I FORWARD -p tcp -d 192.168.1.10 --dport 80 -j ACCEPT
i jak wpiszę w PREROUTING "-m mac --mac-source 00:11:22:33:44:55" to nie mogę się połączyć z www wewnątrz sieci. Jak wyłączę filtrowanie po mac to łączy się z www wewnątrz sieci.
Co sknociłem ?
Re: iptables --mac
Ale ta osoba łączy się z zewnątrz czy wewnątrz? Bo jeśli z zewnątrz to maciem nic nie zdziałasz bo jest on maskowany przy każdym przejściu przez jakikolwiek router...
Re: iptables --mac
no właśnie chcę z zewnątrz.
W takim razie skoro nie da rady, to jak mogę udostępnić konkretnym osobą (ze stałym i zmiennym IP), a zablokować innym dostęp z zewnątrz na ten konkretny port ?
W takim razie skoro nie da rady, to jak mogę udostępnić konkretnym osobą (ze stałym i zmiennym IP), a zablokować innym dostęp z zewnątrz na ten konkretny port ?
Re: iptables --mac
albo twój komputer nie widzi takiego adresu mac ( różnych przyczyn ) , albo pakiet przychodzący został wcześniej trafiony przez inną regułę iptables w łańcuchu PREROUTING i kompuer przepuścił sygnał . Czy statystyki filtra pokazują wychwytywanie jakichś danych ? .
Ostatnio zmieniony 2008-10-23, 19:40 przez pikolo, łącznie zmieniany 1 raz.
Re: iptables --mac
Kolego od kiedy to po macu przez internet ? Tak się nie da
Re: iptables --mac
Zobacz sobie co to jest model OSI. Internet opiera się o IP.
Re: iptables --mac
nixau, albo zrób sobie dostęp do strony na hasło (np. .htaccess), albo jakiś skrypt na stronie, choćby w javie. Różne robi się cuda.
- Sad Mephisto
- Administrator
- Posty: 2824
- Rejestracja: 2004-05-22, 13:24
- Lokalizacja: Zabrze
- Kontakt:
Re: iptables --mac
nixau, zależy na jak wysokim poziomie bezpieczeństwa Ci zależy. Jak chcesz dać dostęp do jakiejś strony WWW, to faktycznie .htaccess może załatwić sprawę. Jeśli chodzi o jakiś inny port, to ciekawym pomysłem zabezpieczenia jest tzw. port knocking (poczytaj: http://www.ducea.com/2006/07/05/how-to- ... -firewall/ ), lecz poziom bezpieczeństwa tego jest porównywalny (jeśli nie mniejszy) niż w .htaccess. Jak potrzebujesz bezpiecznych rozwiązań, to może pomyśl np. o OpenVPN.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]