IPtables a filtrovani podle MAC adres
Miroslav Petricek
mirek na petricek.cz
Úterý Květen 25 12:25:44 CEST 2004
Michal Koblizek wrote:
> Routery jsou uplne otevrene, jenom na brane jsou pravidla na IPtables.
> Mam nakofiruovane pravidla tak,
> ze lokalni sit je plne bez omezeni, jenom pripojeni do netu je dovoleno
> jenom pro nektere.
> Ale tady narazim na problem.
> V iptables mam napr. pravidlo:
> iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT.
> Tohle funguje, ale jenom pro pocitace pripojene PRIMO k brane. Ale pokud
> dam stejne pravidlo pro pocitac ktery
> je pripojen za nekterym z routeru, tak to proste nefunguje a ten dotycny
> se nemuze dostat na net.
To je logické. Routování funguje tak, že router nahradí mac adresu
odesílatele svojí mac adresou a přepošle paket na interface, kerému
podle routovací tabulky přísluší. Router prostě odděluje sítě na třetí
vrstvě a proto není možné v přeroutovaných sítích používat adresy
nižších vrstev.
Řešením je použít pro kontrolu přístupu IP adresy nebo jiný mechanismus.
--
/* Miroslav Petricek mirek na petricek.cz
UNIS COMPUTERS, spol. s r.o. Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467 ------
Další informace o konferenci Linux