Настройка iptables

0

0

Запустил у себя DHCP-сервер, все отлично,

Apr 18 21:33:06 basis2 dhcpd: DHCPDISCOVER from 00:1e:8c:d9:ae:96 via br0
Apr 18 21:33:07 basis2 dhcpd: DHCPOFFER on 192.168.1.16 to 00:1e:8c:d9:ae:96 via br0
Apr 18 21:33:07 basis2 dhcpd: DHCPREQUEST for 192.168.1.16 (192.168.1.191) from 00:1e:8c:d9:ae:96 via br0
Apr 18 21:33:07 basis2 dhcpd: DHCPACK on 192.168.1.16 to 00:1e:8c:d9:ae:96 via br0

проблема в том, что в моих сетях нет такого MAC-адреса 00:1e:8c:d9:ae:96

Я предполагаю, что этот запрос приходит из другой сети через другой компьютер, на котором в /etc/sysctl.conf
прописано
net.ipv4.ip_forward = 1
(это может быть причиной?)

Какие правила прописать для iptables на этом компьютере,
чтобы чужие запросы не фовардились?

Сейчас сделано так (eth0 - внутр. сеть, eth1 - интернет):
[191:33151] -A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A FORWARD -i eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
[0:0] -A FORWARD -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
[0:0] -A FORWARD -i ! eth1 -m state --state NEW -j ACCEPT
[2771:884200] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[3:144] -A FORWARD -i eth1 -j DROP
COMMIT

Ссылка

←	Как скрыть от админов свои HTTP запросы.

firefox 3.0.8, js, доступ на запись в sysfs ?

→

dhcp запросы не маршрутизируются. Их может перекидывать с интерфеса на интерфейс отдельная программа dhcp-relay. Поэтому iptables не поможет.

mky ★★★★★
(19.04.09 11:53:25 MSD)

Ответ на: комментарий от mky 19.04.09 11:53:25 MSD

Могут при соответсвующей настройке ядра

sysctl -a | grep arp

Valmont ★★★
(20.04.09 10:10:04 MSD)

Ответ на: комментарий от Valmont 20.04.09 10:10:04 MSD

> sysctl -a | grep arp

и что конкретно ?

The_Ketchup ★★
(21.04.09 18:08:24 MSD)

>net.ipv4.ip_forward = 1

Если просто включен форвардинг то мак-адрес отправителя у такого пакета будет совпадать с мак-адресом машины которая пересылает этот пакет. Возможно там настроен bridge или arp-proxy

>via br0

а может есть всё-таки такой компьютер в сети? что за бридж у тебя настроен?

Nao ★★★★★
(22.04.09 09:31:56 MSD)

Ссылка

коммутаторы с поддержкой 802.1X спасут от паранойи или усилят многократно

dimon555 ★★★★★
(22.04.09 22:08:42 MSD)

Ссылка

Ответ на: комментарий от The_Ketchup 21.04.09 18:08:24 MSD

proxy_arp вам правда в глаза не бросилось, не?

Valmont ★★★
(24.04.09 11:02:14 MSD)

Ответ на: комментарий от Valmont 24.04.09 11:02:14 MSD

Мдя, я так и подумал что вы про него скажите,на это и рассчитывал :)), только это баттенька несколько не из той оперы :).

из man pppd чтоб показать что это не то:
proxyarp
Add an entry to this system’s ARP [Address Resolution Protocol] table with the IP address of the peer and
the Ethernet address of this system. This will have the effect of making the peer appear to other systems
to be on the local ethernet.

А теперь на тему что эта опция вообще означает по крайней мере у циски, в линуксе так же: если на интерфейс придет arp-request на адрер не из подсети которая прописана на этом интерфейсе то будет сгенерирован arp-reply с маком этого интерфейса - грубо говоря оно завернет весь трафик(или только тот для которого он знает дорогу. пусть меня тут поправят) который должен маршрутизироваться на себя. То что это не прокси в вашем понимании - точно, маки через такую штуку точно не пролезают. Маки могут только через bridge пролезти.

Если не верите:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a00800...