Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Фильрация iptables по mac адресам из внешней сети

 
Начать новую тему Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов dkws.org.ua -> Программы
 
Автор Сообщение
Konstantin73

Новенький


Зарегистрирован: 18.09.2006
Сообщения: 51
Откуда: г.Ульяновск

СообщениеДобавлено: Вс Фев 20, 2011 4:21 pm    Заголовок сообщения: Фильрация iptables по mac адресам из внешней сети
Ответить с цитатой

Здравствуйте, подскажите пожалуйста, существует ли возможность отфильтровывать входящие интернет пакеты по mac адресам источника?
Система mandriva 2007, ядро 2.6.22.6 (включена поддержка фильтрации по mac-адресу), iptables v1.3.5
Проблема: Хочу открыть доступ к ftp серверу определенным клитенам интернет с известными mac-адресами.
Записано правило
-A net2fw -p tcp -m muiltiport --destination-ports 20,21 -m mac-source 00:00:00:00:00:00 -j ACCEPT
Однако для клиентов внешней сети оно не работает, хотя для локальных отрабатывает четко.
Предполагаю, что mac-адреса локальных хостов непосредственно взаимодейстуют с сервером и они известны, а удаленные пакеты не содержат исходных mac-адресов источника, а содеражт mac-адрес последнего коммутатора пакетов. Так ли это?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Martin

Завсегдатай


Зарегистрирован: 28.07.2009
Сообщения: 623
Откуда: Харьков

СообщениеДобавлено: Вс Фев 20, 2011 5:13 pm    Заголовок сообщения:
Ответить с цитатой

Цитата:
существует ли возможность отфильтровывать входящие интернет пакеты по mac адресам источника?

имхо не целесообразно это. может так: "существует ли возможность отфильтровывать входящие интернет пакеты по ip адресам, процессам или приложениям источника?"
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Konstantin73

Новенький


Зарегистрирован: 18.09.2006
Сообщения: 51
Откуда: г.Ульяновск

СообщениеДобавлено: Вс Фев 20, 2011 5:52 pm    Заголовок сообщения:
Ответить с цитатой

Это было бы не плохо. Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Martin

Завсегдатай


Зарегистрирован: 28.07.2009
Сообщения: 623
Откуда: Харьков

СообщениеДобавлено: Вс Фев 20, 2011 6:11 pm    Заголовок сообщения:
Ответить с цитатой

mac адрес закреплен за устройством - этого уже пожалуй достаточно чтобы забыть о нем.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вс Фев 20, 2011 6:44 pm    Заголовок сообщения:
Ответить с цитатой

Martin, MAC-адрес при желании можно изменить
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Konstantin73

Новенький


Зарегистрирован: 18.09.2006
Сообщения: 51
Откуда: г.Ульяновск

СообщениеДобавлено: Вс Фев 20, 2011 7:31 pm    Заголовок сообщения:
Ответить с цитатой

Так все же возможно ли фильтровать внешний трафик по mac-адресам источника пакета? Это было бы очень удобно, даже если возможно изменить mac-адес, то угадать 5-8 разрешных в правилах mac-адресов было бы проблемотично. Вопрос: в ip пакете, пришедшем из сети (прошедшим множество маршрутизаторов, коммутаторов) имеется ли информация о mac-адресе источника пакета, и если есть, то может ли ее извлечь iptables и использовать для фильтрации?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вс Фев 20, 2011 7:39 pm    Заголовок сообщения:
Ответить с цитатой

Внешний нет, внутренний - да
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Anderson

Завсегдатай


Зарегистрирован: 08.07.2006
Сообщения: 642
Откуда: localhost

СообщениеДобавлено: Вс Фев 20, 2011 10:53 pm    Заголовок сообщения:
Ответить с цитатой

Konstantin73 писал(а):
Так все же возможно ли фильтровать внешний трафик по mac-адресам источника пакета? Это было бы очень удобно, даже если возможно изменить mac-адес, то угадать 5-8 разрешных в правилах mac-адресов было бы проблемотично. Вопрос: в ip пакете, пришедшем из сети (прошедшим множество маршрутизаторов, коммутаторов) имеется ли информация о mac-адресе источника пакета, и если есть, то может ли ее извлечь iptables и использовать для фильтрации?


Он не идет вместе с TCP-пакетами. Его нужно резолвить отдельно.
Однако iptables умеет с ним работать.

Вот манка:
Код:
man iptables | grep mac -i -C 1


А тут - детальнее про методы.
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
_________________
ArchLinux + Enlightenment 17 (E17)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение anderson.dunai@gmail.com Моб. телефон ICQ Number
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Пн Фев 21, 2011 10:05 am    Заголовок сообщения:
Ответить с цитатой

Anderson, а как ты собрался получить МАК-адрес внешнего устройства? Да, есть цепочка INPUT, но предполагается, когда пакеты пришли по Ethernet-сети. Когда же пакеты приходят из Инета, МАК-адрес ты не вычислишь
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Anderson

Завсегдатай


Зарегистрирован: 08.07.2006
Сообщения: 642
Откуда: localhost

СообщениеДобавлено: Пн Фев 21, 2011 10:15 am    Заголовок сообщения:
Ответить с цитатой

den писал(а):
Anderson, а как ты собрался получить МАК-адрес внешнего устройства? Да, есть цепочка INPUT, но предполагается, когда пакеты пришли по Ethernet-сети. Когда же пакеты приходят из Инета, МАК-адрес ты не вычислишь

А-а. Я не заметил просто, что в вопросе траффик - внешний.
_________________
ArchLinux + Enlightenment 17 (E17)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение anderson.dunai@gmail.com Моб. телефон ICQ Number
Konstantin73

Новенький


Зарегистрирован: 18.09.2006
Сообщения: 51
Откуда: г.Ульяновск

СообщениеДобавлено: Пн Фев 21, 2011 12:26 pm    Заголовок сообщения:
Ответить с цитатой

Всем большое спасибо, мне теперь ясно, что использовать мас-адрес для фильтрации пакетов, пришедших из внешней сети (интернет) не возможно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Фев 21, 2011 1:51 pm    Заголовок сообщения:
Ответить с цитатой

Konstantin73, настрой нормально ftp (VSFTPD) и задействуй fail2ban. Будет более чем достаточная защита!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Пн Фев 21, 2011 2:06 pm    Заголовок сообщения:
Ответить с цитатой

Так и есть, тему закрываю
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Показать сообщения:   
Начать новую тему Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов dkws.org.ua -> Программы Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис