MAC na IP omezeni

Milan Kerslager milan.kerslager na pslib.cz
Středa Říjen 29 00:06:45 CET 2003 

On Tue, Oct 28, 2003 at 11:05:18PM +0000, Vít Vomáčko wrote:
> Toto mi zase az moc nevyhovuje, krom toho mi to nejak uplne zasekava 
> router,ale to by se asi vyresilo, kazdopadne nejlepsi by bylo pouziti cbq, 
> coz ale neumim nastavit, nebo mozna trosku popis a zjednosuseni prikazu, co 
> jste napsal predtim, bohuzel se v tom orientuji az prilis orientacne...
> 		Dekuji a omlouvam se za nechapavost a neschopnost

CBQ neumi omezovat MAC adresy, umi omezovat toky (z IP adres).

> Dne út 28. října 2003 15:43 jste napsal(a):
> > On Tue, Oct 28, 2003 at 01:54:41PM +0000, Vít Vomáčko wrote:
> > > Potreboval bych nejak na routeru nastavit, aby k nejake IP adrese byla
> > > prirazena nejaka MAc adresa, aby si zakaznik nemohl IP menit, jak chce..
> > > Nelibi se mi ale reseni, vypsat vsechny zakazniky, aby jim to vubec
> > > chodilo, chtel bych takto omezit jen nektere.. Nevite nekdo jak na to?
> >
> > Mam chain, ze ktereho je RETURN, kdyz MAC a IP sedi. Posledni pravidlo
> > je DROP (a pred nim logovani). Tj. neco jako:
> >
> > iptables -I INPUT 1 -j MAC
> > iptables -I FORWARD 1 -j MAC

Tohle nasune volani chainu MAC na prvni misto chainu FORWARD a INPUT.

> > iptables -N MAC
> > iptables -A MAC -m mac --mac-source 00:0B:CD:84:25:B8 -s 1.2.3.4 -j RETURN
> > iptables -A MAC -j LOG --log-level 6 --log-prefix "BADMAC " \
> >   --log-ip-options --log-tcp-options -m limit --limit 6/hour --limit-burst 5
> > iptables -A MAC -j DROP

Tohle vytvori chain MAC, ktery provede RETURN (tj. umozni zpracovani
dalsich pravidel (v chainu IMPUT nebo FORWARD, viz vyse) pokud
komunikujici pocitac ma uvedenou IP adresu a zaroven uvedenou MAC adresu
(tj. kazdy pocitac bude mit 1 takovy radek).

Posledni 2 pravidla loguji a zahazuji zalogovany datagram (zadna uvedena
dvojice IP + MAC nevyhovela a tak neni mozne pokracovat ve zpracovani
datagramu).

Vhodnym ctenim je HOWTO: http://www.netfilter.org/

Dale si muzete o iptables najit clanky na www.root.cz, www.linuxzone.cz,
www.abclinuxu.cz nebo na www.ll.cz.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux