Masq - Iptables Po Ip I Mac..

[xyber]

moze mi ktos podac regułke prostej maskarady, z iptables po IP i Adresach MAC,

jest tego troche w sieci ale jakos niechce zadziałać.

 

chyba ze ktos zna jeszcze inny sposób aby dana karta miała przydzielony adres IP,

 

tablica ARP tez mi nie zadziałała chyba ze cos źle zrobiłem wiem że trzeba wszystkie IP wpisac i tak zrobiłem ale nie wiem co jest nie tak.

[wklaczynski]

może spróbuj doinstalować dhcp i ustawić dhcp.conf wymuszając adresy IP po MAC

 

host smallfry {

 

hardware ethernet 08:00:2b:4c:59:23;

fixed-address 192.168.1.222;

 

}

 

http://www.chinalinuxpub.com/doc/www.silic...nux-hn/dchp.htm

[mynus]

moze mi ktos podac regułke prostej maskarady, z iptables po IP i Adresach MAC,

jest tego troche w sieci ale jakos niechce zadziałać.

 

maskarade zrób na podstawie adresów IP, natomiast powiązanie IP i adresu sprzętowego zrobisz wykorzystując statyczny MAC

 

tzn:

tworzysz plik o przykładowej nazwie staticmac a w nim:

192.168.2.2    01:3d:ds:00:sd:23
192.168.2.3    20:dd:aa:00:ds:03
192.168.2.4    30:2:00:00:34:dd

czyli:

adres_IP hw_adres(mac)

 

potem wydajesz komendę:

arp -f staticmac

staticmac - to nazwa tego pliku, (dobrze jest wpisać tą komendę np w rc.local aby uruchamiać od razu po starcie)

 

potem poleceniem arp możesz sprawdzić czy działa ( przy statycznym macu przy Flags Mask zobaczysz wpis CM)

 

 

może spróbuj doinstalować dhcp i ustawić dhcp.conf wymuszając adresy IP po MAC

to nie jest rozwiązanie, ponieważ w przypadku gdy ktoś ręcznie wprowadza adresy IP w swoim systemie, to serwer dhcpd nie ma na to wpływu (i taka osoba będzie miała dostęp do netu, gdy wprowadzony IP jest maskowany, nawet jeli pod dane IP serwer dhcpd ma przypisaną inną kartę sieciową)

[xyber]

spoko dzieki za info, nie mam pojecia dlaczego wczesniej rozwiązanie na tablicy ARP nie zadziałało.

a moze ktoś podać juz tak z ciekawości przykład jak zrobic to na iptables w maskaradzie.

[irkowy]

Z tego co tu sie domyślam to chcesz puszczać przez iptables komputery do netu sprawdzając je po macach.

 

Ja to sobie tak zrobiłem:

na początku:

 

iptables -P FORWARD DROP

 

i potem po kolei:

 

iptables -A FORWARD -s 192.168.1.16 -m mac --mac-source 00:E0:18:E5:47:91 -j ACCEPT

 

Konfigurujesz swój skrypt w ten sposób i dostęp do netu mają tylko pary IP i MAC, każdy user ma swoje IP i jak zmieni to (_niema_ → nie ma) ORT netu, możesz jesacze sobie skonfigurować dhcp żeby ułatwić sobie życie ale to już nie ma znaczenia.

(problem w tym że w sieci są programy do podmiany maców - na szczęście psują niekóre karty , no i jak ktoś sobie kupi nową kartę to musi pokazać adminowi.)

- napisz na maila to dam ci mój cały skrypt jak chcesz.

[ati]

No problem

iptables -N MAC_check

    # Caly forward z naszej sieci przechodzi przez MAC_check
    iptables -A FORWARD -s $INTNET -j MAC_check

    # Pozwalamy znanym MACom wejsc a reszcie niet.
    # zamiast xx:xx:xx:xx:xx:xx daj adres MAC i tak dla kazdego hosta..
    # oraz dla x.x.x.x adres IP dla tego MACa
    iptables -A MAC_check -m mac --mac-source xx:xx:xx:xx:xx:xx -s x.x.x.x -j RETURN

    
    # wszystko co pozostalo DROP
    iptables -A MAC_check -j DROP

Możesz zblokować całkiem kogoś dodając

iptables -A INPUT -s $INTNET -j MAC_check

Edytowane Maj 11, 2005 przez ati