Ip a MAC

Pondělí Červen 7 00:32:52 CEST 2004

Prepdopkladam ze resis/te stejne problem jaky jsem pred nedavnem
resil ja. Pocitadlo prenesenych dat a omezeni provozu jen pro
spravnou kombinaci IP/MAC. Jedna z variant je rucni manipulace s
ARP tabulkou, nicmene ja jsem nakonec pouzil to co najdete dole.
Je to trosku delsi, ale muzes/te si udelat lepsi obrazek :-)

#! /bin/bash
# Vynulovani vsech hodnot a pripadnych chainu

iptables -F
iptables -X MAC
iptables -X FIREWALL
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X inbits
iptables -t mangle -X outbits

# Nenechame to tak otevreny :-)

iptables -N FIREWALL
iptables -A INPUT -j FIREWALL
iptables -A FIREWALL -p tcp -m tcp --dport 22 --syn -j ACCEPT
iptables -A FIREWALL -p tcp -m tcp --dport 80 --syn -j ACCEPT
iptables -A FIREWALL -i lo -j ACCEPT
iptables -A FIREWALL -i eth1 -j ACCEPT
iptables -A FIREWALL -p udp -m udp -s 212.158.128.2 --sport 53 -d 0/0 -j
ACCEPT
iptables -A FIREWALL -p udp -m udp -s 212.158.129.3 --sport 53 -d 0/0 -j
ACCEPT
iptables -A FIREWALL -p tcp -m tcp --syn -j REJECT
iptables -A FIREWALL -p udp -m udp -j REJECT

# Zavedeni chainu pro kontrolu MAC vs IP

iptables -N MAC
iptables -A MAC -m mac --mac-source 00:50:04:60:78:0E -s 172.16.0.18 -j
RETURN
iptables -A MAC -m mac --mac-source 00:30:4F:21:16:10 -s 172.16.1.35 -j
RETURN
iptables -A MAC -m mac --mac-source 00:02:2D:27:3A:C4 -s 172.16.0.10 -j
RETURN
iptables -A MAC -m mac --mac-source 00:60:1D:21:C0:16 -s 172.16.0.123 -j
RETURN
iptables -A MAC -m mac --mac-source 00:30:4F:21:16:10 -s 172.16.1.35 -j
RETURN
iptables -A MAC -m mac --mac-source 00:60:B3:19:2A:B3 -s 172.16.0.125 -j
RETURN
iptables -A MAC -j DROP
iptables -I FORWARD -i eth1 -j MAC

# Zavedeni chainu pro markovani paketu

iptables -t mangle -A POSTROUTING -s 172.16.0.18 -j MARK --set-mark 120
iptables -t mangle -A POSTROUTING -s 172.16.1.35 -j MARK --set-mark 100
iptables -t mangle -A POSTROUTING -s 172.16.0.10 -j MARK --set-mark 110
iptables -t mangle -A POSTROUTING -s 172.16.1.35 -j MARK --set-mark 15

# Zavedeni pocitadel pro jednotlive IP adresy

iptables -t mangle -N inbits
iptables -t mangle -N outbits

iptables -t mangle -A inbits -j RETURN
iptables -t mangle -A outbits -j RETURN

# Linka ke me
iptables -t mangle -A POSTROUTING -d 172.16.0.18 -j inbits
iptables -t mangle -A POSTROUTING -s 172.16.0.18 -j outbits

# soused
iptables -t mangle -A POSTROUTING -d 172.16.1.35 -j inbits
iptables -t mangle -A POSTROUTING -s 172.16.1.35 -j outbits

# NAT pro jednotlive IP adresy

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to
10.5.14.1

# Modul pro aktivni FTP
insmod ip_nat_ftp

# Modul pro IRC
insmod ip_nat_irc

# Tadydadydadyyyy A to je konec .... :-)

-----Original Message-----
From: influence na azet...sk [mailto:influence na azet.sk] 
Sent: Sunday, June 06, 2004 11:37 PM
To: linux na linux.cz
Subject: Ip a MAC

Zdravim,
da sa na wifi routry obmedzit pripojenie uzivatelov tak, ze budu mat 
priradenu jednu IP adresu k svojej MAC adrese Wifi karty. Cize ak si 
zmeni IP adresu tak sa nekonektne.
Viem ich obmedzit s MAC adresou, ale ak mu povolim jeho MAC adresu tak 
si moze menit, sprepacenim IP podla lubovole a stale sa konektne. Da sa 
to nejako vyriesit?
Vdaka za pomoc.