Portál AbcLinuxu, 26. dubna 2024 05:42


Dotaz: IPTABLES povolenie iba vybratym MAC adresam

26.12.2009 20:17 majo053
IPTABLES povolenie iba vybratym MAC adresam
Přečteno: 428×
Odpovědět | Admin
Dobry den,

chcem sa spytat ci pouzivam dobre prikaz: 

iptables -I FORWARD -p ALL -m mac ! --mac-source 1 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 2 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 3 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 4 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 5 -j DROP
Tym chcem zamietnut vsetky MAC adresy, ktore nie su v pravidlach. Dobre to robim? Pretoze mam spraveny router ale ked pridam tieto pravidla, tak mi nepovoli pristup na Internet. 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC ! 00:19:66:7A:4F:97 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC ! 00:19:66:7A:4F:97 LOG flags 0 level 4 prefix ` IPTABLES DROP povolené MAC '  
    0     0 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 DROP       tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports ! 20,21,25,53,67,64,80,143,443,465,990,993,995,5190 
    0     0 DROP       udp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports ! 20,21,25,53,67,64,80,143,443,465,990,993,995,5190  
    0     0 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:21 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

MMMMMMMMM avatar 26.12.2009 20:28 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Odpovědět | | Sbalit | Link | Blokovat | Admin
v práci mám na routeru defaultní politiku DROPování paketů a pouze, pokud odpovídá IP a MAC, tak povolím... ostatní se zahazuje

iptables -A FORWARD -i $LANIF -o $NETIF -s 192.168.1.1 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
Linux Dokumentační Projekt - PDF ke stažení
MMMMMMMMM avatar 26.12.2009 20:32 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
jen doplním, že tobě bych také doporučoval naopak jednotlivé vyjmenované MAC adresy akceptovat a vše ostatní dropnout
Linux Dokumentační Projekt - PDF ke stažení
Řešení 1× (MMMMMMMMM)
26.12.2009 20:50 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
OK dakujem za vase reakcie!

Pri forwarde mam toto: 
# Prepusti iba uz nadviazane spojenia smerom do vnutornej siete
$IPT -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Vsetky poziadavky z vnutornej siete, ktore nevyhovuju povolenym portom TCP/UDP sa zamietnu!

$IPT -A FORWARD -i $LAN -o $INTERNET -m multiport -p tcp ! --dports $povolene_porty -j DROP
$IPT -A FORWARD -i $LAN -o $INTERNET -m multiport -p udp ! --dports $povolene_porty -j DROP

# Zamietne nove spojenia z vnutornej siete do Internetu
$IPT -A FORWARD -i $LAN -o $INTERNET -j DROP

# IP maškaráda pri dynamickej pridelovanej IP adrese 
$IPT -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

for mac in $POVOLENE_MAC; do
        $IPT -I FORWARD -m mac --mac-source $mac -j LOG --log-prefix " IPTABLES DROP povolené MAC "
        $IPT -I FORWARD -m mac --mac-source $mac -j ACCEPT
done
Teraz mi to uz ide. Mam tam prosim niekde chybu?
MMMMMMMMM avatar 26.12.2009 21:04 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
máš tam zapnuto logování akceptovaných paketů.. to budou mraky dat v logu, to bych tedy nelogoval :)
Linux Dokumentační Projekt - PDF ke stažení
26.12.2009 21:27 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
:) samozrejme, ze to dam prec, nevsimol som si to. Povodne som logoval vsetko co sa dropne. UZ to nepotrebujem. Dufam, ze nikto nema ziadne namietky k mojmu forwardu a mozem ist dalej :)
26.12.2009 21:42 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Ako by som spravil to, ze zamietnem vsetky porty a povolim iba vybrate?
MMMMMMMMM avatar 27.12.2009 07:40 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Snad tam neni chyba... po ranu mi to moc nemysli :-) Zkusis a uvidis 
# Prepusti iba uz nadviazane spojenia smerom do vnutornej siete
$IPT -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -N povol_forward

for mac in $POVOLENE_MAC; do
        $IPT -A FORWARD -i $LAN -o $INTERNET -m mac --mac-source $mac -j povol_forward
done

# Povolime iba porty, ake chceme. Vsetko ostatne sa DROPne diky default policy...
$IPT -A povol_forward -m multiport -p tcp --dports $povolene_porty -j ACCEPT
$IPT -A povol_forward -m multiport -p udp --dports $povolene_porty -j ACCEPT

# IP maškaráda pri dynamickej pridelovanej IP adrese 
$IPT -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
Linux Dokumentační Projekt - PDF ke stažení
27.12.2009 12:20 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Ano dakujem, funguje to! :)
26.12.2009 20:37 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Ano presne takto to chcem... Len neviem ako na to...

FORWARD politiku mam na DROP.

A chcem v cykle for nacitat zo subora MAC adresy. 
for mac in $POVOLENE_MAC; do     
        $IPT -I FORWARD -m mac ! --mac-source $mac -j LOG --log-prefix " IPTABLES DROP povolené MAC "        
        $IPT -I FORWARD -m mac ! --mac-source $mac -j DROP          
done
Jendа avatar 26.12.2009 21:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Odpovědět | | Sbalit | Link | Blokovat | Admin
Že si rýpnu, tak MAC adresu si může klient změnit, takže pokud to máš jako bezpečnostní opatření, tak to moc účinné nebude.
Já to s tou denacifikací Slovenska myslel vážně.
26.12.2009 21:28 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam
Ano samozrejme to viem, nie je to ani tak bezpecnostne opatrenie.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.