LINUX.ORG.RU
ФорумSecurity

Правильный МАС + IP Фильтр


0

1

Что я имею: DHCP который выдает IP-адреса по МАС-адресу + iptables с правилами для конкретного МАС и IP. Выглядит это так: 

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*nat
:PREROUTING ACCEPT [617:41665]
:POSTROUTING ACCEPT [202:12152]
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
-A PREROUTING -p tcp --dport 1000 -j REDIRECT --to-ports 9750
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*mangle
:PREROUTING ACCEPT [18311947:11615197157]
:INPUT ACCEPT [14728272:10657466878]
:FORWARD ACCEPT [3583675:957730279]
:OUTPUT ACCEPT [15426176:11611524884]
:POSTROUTING ACCEPT [19009852:12569255183]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*filter
:INPUT ACCEPT [5238:2657284]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5655:2834513]

-P INPUT ACCEPT
-P FORWARD DROP

-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i ppp0 -o eth1 -j ACCEPT

#Rafic
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.229 -m mac --mac-source 20:CF:30:9F:BB:E5 -j ACCEPT
#Lesha
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.230 -m mac --mac-source 00:16:D3:58:6D:87 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.240 -m mac --mac-source 00:19:7E:51:DF:9A -j ACCEPT
#Denis
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.231 -m mac --mac-source F4:6D:04:A7:04:2F -j ACCEPT
#Andrey
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.232 -m mac --mac-source 00:15:58:66:48:0B -j ACCEPT
#Lena
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.233 -m mac --mac-source 60:EB:69:4C:56:B3 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.239 -m mac --mac-source 70:F3:95:AF:83:98 -j ACCEPT
#Katya
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.234 -m mac --mac-source C8:0A:A9:DC:6F:83 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.238 -m mac --mac-source C4:46:19:5A:BE:5E -j ACCEPT
#Ksysha
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.235 -m mac --mac-source B8:70:F4:27:0C:B9 -j ACCEPT
#Anya
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.236 -m mac --mac-source 00:16:D4:D2:24:B8 -j ACCEPT
#ROUTER
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.237 -m mac --mac-source 20:cf:30:99:3c:b9 -j ACCEPT
#MihnewAndrey
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.241 -m mac --mac-source 74:2f:68:31:b2:8d -j ACCEPT
COMMIT
# Completed on Wed Jan 19 22:16:53 2011
Задача: просто запретить всех клиентов которые могут сменить МАС и IP-адреса и разрешить только определенным. Если прописать любой ИП из сети 192.168.1.140/255 и ДНС 8.8.8.8 то доступ в интернет есть. МАС и IP - в данном методе фильтрации должны быть как логин и пароль. Но правила не работают. Почему? Пробывал запрет писать после правил 
-P FORWARD DROP
результат тот же.



Последнее исправление: Rafic (всего исправлений: 1)

-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i ppp0 -o eth1 -j ACCEPT

я так понимаю, эти строки не нужны, если вы хотите форвардить только тех, чьи маки/ip удовлетворяют требованиям. Эти два правила открывают форвардинг сразу всем в обе стороны.

pianolender ★★★
()
Ответ на: комментарий от pianolender

Комментировал эти правила [code] -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o ppp0 -j ACCEPT -A FORWARD -d 192.168.1.0/255.255.255.0 -i ppp0 -o eth1 -j ACCEPT [/code] и вообще все заглохло...

Rafic
() автор топика
Ответ на: комментарий от prischeyadro

Да=) Сеть в общежитии. На ней 8 компьютеров не считая моего и серверного. Я не стал возится с ВПН и поднимать супер защиту для столь незначительного количества абонов и способа законектится. Будет конкретная необходимость - сделаю.

Rafic
() автор топика
Ответ на: комментарий от Rafic

Помогите еще пожалуйста еще запретить все порты кроме конкретных. Я хочу полностью контролировать трафик проходящий через сервер, в том числе и отрубить торренты. Работать должны Скайп, Аська\Квип, 80 порт... ну и там уже по надобности. В итоге должны остаться правила которые будут пропускать пользователя по МАС + ИП и правила запрета всех портов кроме конкретных.

Rafic
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security