iptables a --mac-source

[Premysl Hruby]

Petr Hvězda wrote:
> Zdravim,
>  
> rozhodl jsem se na jedne nasi pobocce, kde je mene PC trochu ztizit
> pripojeni dalsich PC bez vedomi naseho IT strediska. Zkousim k tomu ucelu
> pouzit $SUBJECT, ale nekde asi delam chybu. Ucelem je aby PC vubec nedostal
> IP adresu a aby mu tudiz nejely zadne sitove sluzby. Nicmene tak jak to mam
> to moc dobre nefunguje a IP adresu dostane... Takze mam to zarizeno takto:
>  
> 1. pravidlo, ktere smeruje vsechny dotazy na DHCP na retezec dhcp-me:
>  
>  iptables -A myinput -s 0.0.0.0/0 -d 255.255.255.255 -p udp --sport bootpc
> --dport bootps -j dhcp-me
>  
>  
> 2. pravidla retezce dhcp-me:
>  
> takze mam textak, kam pisi mac adresy, ktere chci povolit a pravidlo, ktere
> mi zaloguje adresu, ktera byla zakazana, vse ostatni DROP
>  
> for q in `cat /etc/firewall/mac.txt | grep -v ^# `; do
>     iptables -A dhcp-me -m mac --mac-source "${q}" -j LOG --log-prefix
> "${fw_prefix} [mac-blacklist]: " -m limit --limit 1/m
>     iptables -A dhcp-me -m mac --mac-source "${q}" -j DROP
> done
> 
> iptables -A dhcp-me -j RETURN
>  
>  
> mno a ted kde je tedy chyba ?? Takto to nefunguje a PC slapu vesele dal :(
>  
> Diky
>  

Taky zdravim,

neni to zbytecne, tahle kontrolovat pristup pouze k DHCP ? Co kdyz si
nastavim pevnou IP. Pokud neni soucasti prideleni IP adresy DHCP
serverem i povoleni dane kombinace IP/MAC ve firewalu (jako triger v
DHCP) tak se to da trivialne obejit.
Jestli tam mate malo pocitacu (tj. cena kontroly je dostatecne mala
vzhledem k vykonu/zdrojum toho routeru) tak bych sel radeji do neceho
takoveho:

iptables -N MAC_TEST
iptables -A -j MAC_TEST

iptables -A MAC_TEST -m mac --mac-source ZD:RO:JO:VA:MA:C -j RETURN
... pro vsechny mac ..
iptables -A MAC_TEST -j LOG --log-prefix "Nepovolena MAC"
iptables -A MAC_TEST -j DROP

takze to pakety s nepovolenou MAC proste dropne. Zaobalit to do toho
Vaseho skriptu by nemel byt problem. (pripadne by bylo vhodne PC co vice
komunikujou zaradit v seznamu vyse)

P. H.