Как по mac блокировать доступ в инет(ну или любой порт)
С ip проблем нету,а вот по mac какой то затык!
Про shorewall не скажу, так как считаю его абсолютно бесполезной фигней.
А вот как реализовать “белый” список фильтрации по MAC родным iptables
ipt=/sbin/iptables
$ipt -A INPUT -i eth1 -j MAC_FILTER # доступ непосредственно к шлюзу
$ipt -A FORWARD -i eth1 -j MAC_FILTER # транзитные пакеты, например из локальных сетей в интернет через этот шлюз
$ipt -A MAC_FILTER -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN # собственно "абонент"
$ipt -A MAC_FILTER -j DROP # блокировка всего остального обязательно в конце всего списка.
добрый день!
ИМ удобно рулить…быстро и не вникаясь)))
Ваше правило ,что делает?Блокиурет все с mac xx ? а мне надо только определенный порт
в shorewall я знаю как блокнуть весь мак
Спасибо!
Рустам М wrote:
добрый день!
ИМ удобно рулить…быстро и не вникаясь)))
ИМХО вам нечего делать в сетевом администрировании.
Ваше правило ,что делает?Блокиурет все с mac xx ? а мне надо только определенный порт
без проблем, учитывая предыдущий мой пост
$ipt -A MAC_FILTER -p tcp -m tcp --dport 22 -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN
Можно как угодно модифицировать. Если порт(ы) известны, можно сразу в INPUT или FORWARD заворачивать в нужную таблицу с правилом для порт(ов), например так для транзитных пакетов
$ipt -A FORWARD -i eth1 -p tcp -m 6080:6088 -j MAC_FILTER
$ipt -A FORWARD -i eth1 -p tcp -m 22 -j MAC_FILTER
$ipt -A FORWARD -j DROP
$ipt -A MAC_FILTER -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN
$ipt -A MAC_FILTER -j DROP
Без вашего имхо обойдемся!)))А так да,учится надо многому и не только мне…
Если вам нравится правила писать(шаблоны) от руки,то это ваше личное дело!
Мне проще shorewall за 10-15 минут настроить и обкатать!Тем болеем масштабы не такие!
Спасибо за iptables!
Как по mac блокировать доступ в инет(ну или любой порт)
я так понимаю - вам надо указать правила с привязкой к MAC-у.
http://www.shorewall.net/manpages/shorewall-rules.html
По странице поищите фразу “mac address”
Андрей Сеник wrote:
ИМ удобно рулить…быстро и не вникаясь)))
ИМХО вам нечего делать в сетевом администрировании.
…
почему тогда не ipfw
сразу-же? вы же знаете что тру-сетевые-админы сидят строго на *bsd
системах
на правах такого-же как и вы тру-специалиста, ответственно вам заявляю:
Спасибо большое!
сам не смог нагуглить,а тут все так просто)))) Фишка была в ~
loc:~AA-BB-CC…
Михаил Гагауз wrote:
почему тогда не
ipfw
сразу-же? вы же знаете что тру-сетевые-админы сидят строго на*bsd
системах
на правах такого-же как и вы тру-специалиста, ответственно вам заявляю:
Михаил, я ничего не имею против людей, которые разбираются и используют сабж.
Но я, наверное, слишком категоричен к людям, которые
…быстро и не вникаясь)))
пытаются заниматься сетевым администрированием.
Я вас умоляю…
Быстро и не вникаясь его не настроить! Вы уж близко прям к сердцу мои слова приняли!