Portál AbcLinuxu, 14. května 2025 02:45

Dotaz: Obmedzenie pristupu na internet z LAN

1.11.2005 00:56 keviin077
Obmedzenie pristupu na internet z LAN
Přečteno: 161×
Odpovědět | Admin
Ako obmedzim jednotlivym uzivatelom na sieti LAN pristup na internet. Na servery {Debian 3.1 Sarge} mam pripojenie na internet je cez EDGE modem ppp0 do siete HUBU to ide cez eth0}. Pridelovanie IP adries mam riesene cez dhcp3 server. Ako zabranim urcitym vybranim uzivatelom pristup na internet.

1. Chcem aby vybrany uzivatelia, kt. dostanu IP od dhcp3 serveru na LAN mohly ale na internet uz nie. 2. Chcem zabranit pristupu na internet tym, ktori si rucne natukaju IP adresu, branu a DNS server rucne {uhadnu ju} ????
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

1.11.2005 04:41 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Přiděluj uživatelům adresy z různejch částí rozsahu (třeba staticky podle MAC adres), třeba takhle:

Klienti s přístupem na internet: třeba 10.0.0.1-19 Klienti bez přístupu na internet: třeba 10.0.0.20-39

Adresám od 20 do 39 pak přes iptables blokuj provoz dle libosti (třeba -d ! 10.0.0.0/8)

Pokud budeš chtít vyřešit i ty, co si nastavěj síť ručně, filtruj navíc celej provoz podle MAC adres (možná to uměj iptables, nevim, nikdy jsem to nedělal)
1.11.2005 10:41 Jan
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Jasne ze to iptables umi, prislusny odstavecek v man pages zni takto: 
 --mac-source [!] address
              Match   source   MAC   address.    It   must   be  of
              the  form XX:XX:XX:XX:XX:XX.  Note that this
              only makes sense for  packets
              coming from an Ethernet device and entering the
              PREROUTING, FORWARD or INPUT chains.
Ti vseho schopni uzivatele, kteri si umeli uhadnout sitove parametry, ovsem casem prijdou na to, kterou hodnotu mac adresy si maji nakonfigurovat aby se dostali ven. Pak se zase ozvi.
1.11.2005 11:26 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zaveď registraci MAC - k dane MAC přiděl pevnou IP (třeba pomocí fixed-address) a v iptables povol routing do netu na základě těchto dvojic MAC - IP a zbytek zakaž.
oVirt | SPICE
1.11.2005 12:30 keviin077
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Aka bude syntax. Ja davam iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE potom som dal iptables-save ale aj tak to po kazdom restarte musim zase zadat - plati od vtedy ked som do dhcpd.conf dopisal do sekcie subnet deny unknown-clients. Asi aj ten iptables bude potrebne zadat inak. Ako to robim ja (chyba mi tam PREROUTING, FORWARD a INPUT(.
1.11.2005 12:33 keviin077
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Sorry klikal som trochu rychlejsie ako bolo treba
1.11.2005 13:40 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Obmedzenie pristupu na internet z LAN
Odpovím tady - je to to, co psal kolega nade mnou. Třeba tak nějak: 
iptables -P FORWARD DROP
iptables -N inetxs
iptables -A inetxs -s IP1 -m mac --mac-source MAC1 -j ACCEPT
...
iptables -A inetxs -s IPn -m mac --mac-source MACn -j ACCEPT
iptables -A FORWARD -o inet_iface -j inetxs
Jak se tak na to dívám, tak to může být pomalý při velkým počtu klientů a paketů/s, ale nic lepšího mě nenapadá.
oVirt | SPICE

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.