shorewall Блокировка портов по мак-адресу?реально?

Как по mac блокировать доступ в инет(ну или любой порт)
С ip проблем нету,а вот по mac какой то затык!

Про shorewall не скажу, так как считаю его абсолютно бесполезной фигней.
А вот как реализовать “белый” список фильтрации по MAC родным iptables

ipt=/sbin/iptables
$ipt -A INPUT -i eth1 -j MAC_FILTER  # доступ непосредственно к шлюзу
$ipt -A FORWARD -i eth1 -j MAC_FILTER # транзитные пакеты, например из локальных сетей в интернет через этот шлюз

$ipt -A MAC_FILTER -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN # собственно "абонент"
$ipt -A MAC_FILTER -j DROP # блокировка всего остального обязательно в конце всего списка.

добрый день!
ИМ удобно рулить…быстро и не вникаясь)))

Ваше правило ,что делает?Блокиурет все с mac xx ? а мне надо только определенный порт

в shorewall я знаю как блокнуть весь мак

Спасибо!

Рустам М wrote:

добрый день!
ИМ удобно рулить…быстро и не вникаясь)))

ИМХО вам нечего делать в сетевом администрировании.

Ваше правило ,что делает?Блокиурет все с mac xx ? а мне надо только определенный порт

без проблем, учитывая предыдущий мой пост

$ipt -A MAC_FILTER -p tcp -m tcp --dport 22 -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN

Можно как угодно модифицировать. Если порт(ы) известны, можно сразу в INPUT или FORWARD заворачивать в нужную таблицу с правилом для порт(ов), например так для транзитных пакетов

$ipt -A FORWARD -i eth1 -p tcp -m 6080:6088 -j MAC_FILTER
$ipt -A FORWARD -i eth1 -p tcp -m 22 -j MAC_FILTER
$ipt -A FORWARD -j DROP
$ipt -A MAC_FILTER -m mac --mac-source 00:1C:C0:36:16:1E -j RETURN
$ipt -A MAC_FILTER -j DROP

Без вашего имхо обойдемся!)))А так да,учится надо многому и не только мне…

Если вам нравится правила писать(шаблоны) от руки,то это ваше личное дело!

Мне проще shorewall за 10-15 минут настроить и обкатать!Тем болеем масштабы не такие!

Спасибо за iptables!

Как по mac блокировать доступ в инет(ну или любой порт)

я так понимаю - вам надо указать правила с привязкой к MAC-у.

http://www.shorewall.net/manpages/shorewall-rules.html
По странице поищите фразу “mac address”

Андрей Сеник wrote:

ИМ удобно рулить…быстро и не вникаясь)))
ИМХО вам нечего делать в сетевом администрировании.

почему тогда не ipfw сразу-же? вы же знаете что тру-сетевые-админы сидят строго на *bsd системах
на правах такого-же как и вы тру-специалиста, ответственно вам заявляю:

Спасибо большое!
сам не смог нагуглить,а тут все так просто)))) Фишка была в ~

loc:~AA-BB-CC…

Михаил Гагауз wrote:

почему тогда не ipfw сразу-же? вы же знаете что тру-сетевые-админы сидят строго на *bsd системах
на правах такого-же как и вы тру-специалиста, ответственно вам заявляю:

Михаил, я ничего не имею против людей, которые разбираются и используют сабж.
Но я, наверное, слишком категоричен к людям, которые

…быстро и не вникаясь)))

пытаются заниматься сетевым администрированием.

Я вас умоляю…

Быстро и не вникаясь его не настроить! Вы уж близко прям к сердцу мои слова приняли!