| Autor |
Sõnum |
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Kas ja kuidas on võimalik OpenSuSE 11.1 Firewallis võimalik MAC aadressi järgi kohalikus võrgus olevaid arvuteid blokkida? Panin püsti DHCP serveri. IPde järgi bannida ei soovi, kuna igaüks oskab IP-d vahetada.
Igasugune info tuleks kasuks 
|
|
|
|
|
|
|
  |
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:00 -j DROP
Sõltub mis sa teha tahad, kui lihtsalt sellele masinale juurdepääsu keelata siis piisab esimesest, kui aga see masin toimib ka ruutimisega siis mõlemad
|
|
|
|
|
|
|
 |
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Masin tegeleb ka marsruutimisega.
Suured tänud!
Üks küsimus veel: Kuidas saaks ma eelnevalt blokeeritud MAC aadressi "unblockida"?
|
|
|
|
|
|
|
|
indrek
Vana Pingviin
Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
|
| btw, tänapäeval peaks igaüks, kes ip-d vahetada oskab, suutma ka maci vahetada
|
|
|
|
|
|
|
 |
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
| Tegu on ühikaga, ehk kokad ei oska (A)
|
|
|
|
_________________
Itinaine =]
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
| Atheya kirjutas: | | Kuidas saaks ma eelnevalt blokeeritud MAC aadressi "unblockida"? |
Kirjutad konkreetset mac-i puudutavas reeglis DROP asemele ACCEPT.Ja "man iptables" on see käsk mida sa otsid
|
|
|
|
_________________
IT teenused
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
| Hmm.. Proovisin küll. Vaatasin manuali ka, kuid siiski ei tööta. Arvuti saab endiselt Internetti. Milles võib viga olla?
|
|
|
|
_________________
Itinaine =]
|
|
|
|
Kanka
Pingviini kasutaja
Liitunud: 01.11.2009
Postitused: 79
|
|
Vale mac?
Vahetas maci ära?
|
|
|
|
|
|
|
|
vylx
Uus kasutaja
Vanus: 36
Liitunud: 21.08.2009
Postitused: 7
Asukoht: kus päike paistab
Distributsioon: Debian
|
|
Parandage, kui eksin, kuid..
Kas mitte iptable/chain'is ei mänginud ka reeglite paiknemise järejekord olulist rolli?
St. võimalik, et leiti eespoolt juba sobiv reegel ehk toimub pakettide routimine ära enne, kui tolle "mac-drop" reani jõutakse?
Ei teeks halba /etc/sysconfig/iptables ülevaadata korra, ning liigutada "mac-drop" ridasid vastavalt. (kui muidugi on salvestatud..)
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Kuna tegu on ruuteriga ,siis tuleb mac-i filtreerimine teha PREROUTING ahelas, sest FORWARD ahelasse jõudes on paketi source mac kirjutatud üle ruuteri võrguliidese omaga.
| Kood: | | iptables -t mangle -I PREROUTING -p tcp -i ethx -m mac --mac-source 00:00:00:00:00:00 -j DROP |
ethx asemele läheb sisevõrgu liides
|
|
|
|
_________________
IT teenused
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| konfi viga. juba ainuüksi netti lubamine peab olema mac põhine. kõikide arvutite mac aadressid peavad olema registreeritud.
|
|
|
|
_________________
olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
Kanka
Pingviini kasutaja
Liitunud: 01.11.2009
Postitused: 79
|
|
| obundra kirjutas: | Kuna tegu on ruuteriga ,siis tuleb mac-i filtreerimine teha PREROUTING ahelas, sest FORWARD ahelasse jõudes on paketi source mac kirjutatud üle ruuteri võrguliidese omaga.
| Kood: | | iptables -t mangle -I PREROUTING -p tcp -i ethx -m mac --mac-source 00:00:00:00:00:00 -j DROP |
ethx asemele läheb sisevõrgu liides |
Selles ilmselt asi ongi. Kõigi eelduste kohaselt eth0 asemele ja peaks funkama.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
| olavsu1 kirjutas: | | konfi viga. juba ainuüksi netti lubamine peab olema mac põhine. kõikide arvutite mac aadressid peavad olema registreeritud. |
nu ja siis lased snifferi käima ja ongi sul varsti olemas miski mac...
PREROUTING neh 
|
|
|
|
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Jepjep
Minu alluvuses on hetkel Iptraf, siiani olen väga rahul
Kohe teen ka järjekordse loomkatse, kas ban toimib
|
|
|
|
_________________
Itinaine =]
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
| Ahsoo. Ühesõnaga - enne selle MAC aadressi blokeerimist pean MAC aadressi registreerima? Kuidas see käib? *blush* (A) Olen suhteliselt algaja
|
|
|
|
_________________
Itinaine =]
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Or wait.
MAC on ju registreeritud, kui ta netti pääseb läbi serveri.
|
|
|
|
_________________
Itinaine =]
|
|
|
|
Kanka
Pingviini kasutaja
Liitunud: 01.11.2009
Postitused: 79
|
|
| On jah võimalus teha, et ainult registreeritud mäkid saavad netti aga kindlasti ka nii, et kõik peale kindlate ei saa.
|
|
|
|
Viimati muutis Kanka 03.11.2009, 00:19; muudetud 1 kord
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Sain selle blokinduse vist tööle 8-|
Nüüd küsimus selline, et kuidas oleks võimalik ära salvestada need iptables muudatused?
|
|
|
|
_________________
Itinaine =]
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
| Atheya kirjutas: | | Or wait.
MAC on ju registreeritud, kui ta netti pääseb läbi serveri. |
Kui siiani tulemüüris mac-i piiranguid polnud, siis pole ilmselgelt ka midagi registreeritud ja kõik pääsevad võrku.Tulemüüri hetkel kehtivaid INPUT, FORWARD ja OUTPUT ahelate reegleid näitab käsk Eraldi nat ja mangle tabeli omi ja | Kood: | | iptables -L -t mangle |
Võrgus olevaid ip aadresse ja nendele vastavaid mac-e näitab käsk arp -a.Iptablesi reegleid saad salvestada iptables-save käsuga.Näiteks salvestad faili /etc/tulemyyr käsuga | Kood: | | iptables-save > /etc/tulemyyr |
, käivitamisel loed reeglid sisse | Kood: | | iptables-restore < /etc/tulemyyr |
Edit: Paar asjakohast linki kah
http://viki.pingviin.org/Tulemüürimas_IPTABLES_abiga (täpikuid ei lase miskipärast lingiks teha)
Hasso Tepperi leht
|
|
|
|
_________________
IT teenused
|
|
|
|
Atheya
Uus kasutaja
Vanus: 33
Liitunud: 01.11.2009
Postitused: 10
Asukoht: localhost
|
|
Suur, SUUR aitäh!!!
Sain asja just nii tööle, nagu peab
|
|
|
|
_________________
Itinaine =]
|
|
|
|
|
|
