Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Połączenia MACa z IP
http://forum.freesco.pl/viewtopic.php?f=22&t=14092		 Strona 1 z 1
Autor:  ZenObi [ piątek, 17 listopada 2006, 23:50 ]
Tytuł:  Połączenia MACa z IP
Witam.
Mam problem:
W iptables mam filtrowanie userów po MACu. Znalazł się jednak cwaniak, który na dwóch kompach wstawił ten sam MAC i kradnie wolne IP innym użytkownikom. Nie interesują mnie rozwiązania typu pppoe czy coś tam.
Pytanie:
Jak zrobić w iptables wzorzec, w którym będzie zawarty jednocześnie MAC i IP? Zastanawiałem się nad markowaniem pakietów po IP, a potem sprawdzanie maca, ale to chyba przerost formy nad treścią. Macie jakieś propozycje?
I prośba - jestem nowy w linuxie, samemu udało mi się jak do tej pory radzić z całą konfiguracją, a parę rzeczy już zrobiłem. Więc nie jeździjcie po mnie za mocno :)
Autor:  luki_nowy [ piątek, 17 listopada 2006, 23:55 ]
Tytuł: 
Firewall by czerwo maskarada po macu i ip w najnowszej wersji
Autor:  -MW- [ sobota, 18 listopada 2006, 01:07 ]
Tytuł: 
a co na to arp?
Autor:  ZenObi [ niedziela, 19 listopada 2006, 15:29 ]
Tytuł: 
Co do firewalla, to myśle sobie tak: jak mam się czegoś nauczyć, jeżeli będę używał tylko konfiguratorów, nie wgłębiając się w resztę? Jak już będę umiał, to nie będzie mi się chciało robić samemu, i wtedy będę używał gotowców :)
Co do arpa, to właśnie nie wiem - mam w ethers wpisane wszystkie IP i MACe, i myślałem że to wystarczy. Restart arp -f nic nie daje. Coś jeszcze trzeba zrobić?
Autor:  -MW- [ niedziela, 19 listopada 2006, 17:06 ]
Tytuł: 
i pod tymi dwoma ip sa te same maci? czy znalazl mac innych klientow?
Autor:  ZenObi [ poniedziałek, 20 listopada 2006, 19:39 ]
Tytuł: 
Właśnie tak. Na jednym MACu siedzą 2 IP. Poza tym, każdy z kompów może mieć każde ip z zakresu jaki przepuszczam w iptables.
Autor:  -MW- [ poniedziałek, 20 listopada 2006, 23:12 ]
Tytuł: 
-MW- pisze:
a co na to arp?


pozwala tak?

Cytuj:
Poza tym, każdy z kompów może mieć każde ip z zakresu jaki przepuszczam w iptables.


czyli zrobiles do d....
Autor:  ZenObi [ wtorek, 21 listopada 2006, 00:33 ]
Tytuł: 
No to właśnie dlatego piszę tutaj, bo zrobiłem do d... Nie wiem właśnie, dlaczego arp pozwala na takie rzeczy. Nie wiem też, jak wpisać w iptables warunek, żeby sprawdzał, czy MACowi pakietu odpowiada IP. Mam to zrobione oddzielnie, tzn najpierw sprawdzam maca, potem oddzielnie ip. Stąd też każdy z poprawnym macem moze wpisac sobie ip.
O arpie troche poczytałem, i logicznie mi wynika, że jak mu robie statyczną tablice odwzorowania, to powinno działać. A nie chce :(
Pewnie walne jednak na razie firewalla czerwa...
Autor:  klukas [ wtorek, 21 listopada 2006, 01:55 ]
Tytuł: 
po to sa konfiguratory. zeby z nich korzystac. jak zrobisz tak to pozniej w iptables bedziesz mogl zobaczyc jak to wyglada :]
Autor:  sert [ wtorek, 21 listopada 2006, 01:58 ]
Tytuł:  Re: Połączenia MACa z IP
ZenObi pisze:
Witam.
Mam problem:
W iptables mam filtrowanie userów po MACu. Znalazł się jednak cwaniak, który na dwóch kompach wstawił ten sam MAC i kradnie wolne IP innym użytkownikom.


w tablicy arp zablokowales wolne adresy IP, czy tylko te co uzywasz???
Autor:  ZenObi [ niedziela, 26 listopada 2006, 03:01 ]
Tytuł: 
Witam po dłuższej przerwie spowodowanej brakiem czasu.
Znalazłem rozwiązanie swojego problemu. Jest banalne i proste.
Kombinowałem kiedyś z wyrażeniami w nawiasach kwadratowych, z andami czy innymi funkcjami logicznymi. Trzeba było wpisać tak:
iptables -A FORWARD -s xxx.xxx.xxxx.xxx -m mac --mac-source xx.xx.xx.xx.xx.xx -j ACCEPT.
Bez zadnych dodatków, tylko oba wzorce.
KUUUURRR...... a ja siedziałem i się męczyłem nie wiadomo z czym.

Sert: W ethers wpisałem adresy i mace których używam. Nie wiem dlaczego nie czyta mi tego pliku. Poradziłem sobie, pisząc krótki skrypcik odpalany przy starcie systemu:
arp -s xxx.xxx.xxx.xxx zz.zz.zz.zz permanent
i tak dla każdego hosta.

I to rozwiązało wszystkie problemy.
Dzięki wszystkim, którzy chcieli pomóc.
Autor:  adi [ niedziela, 26 listopada 2006, 18:15 ]
Tytuł: 
ZenObi pisze:
W ethers wpisałem adresy i mace których używam. Nie wiem dlaczego nie czyta mi tego pliku.


Potem trzeba jeszcze zrobić:

: [/] [] ()
arp -f
GeSHi © Codebox Plus


:)
Autor:  ZenObi [ poniedziałek, 27 listopada 2006, 05:10 ]
Tytuł: 
Tak, wiem. Napisałem zresztą wyżej. Po wpisaniu tej komendy wyświetla mi się help do arpa.
Mam za to gorszy problem - dołączyłem nowego kolesia, sprawdziłem jego maca, dopisałem do forwarda:

iptables -A FORWARD -s <ip> -m mac --mac-source <mac> -j ACCEPT

I co? I nic. Koleś nie ma internetu. Wykreśliłem maca, zostawiłem ip - działa.
No to dopisałem do arpa:

arp -s <ip> <mac> i co? I oczywiście nic. Koleś znów nie ma inetu.

Jego maca sprawdzałem pare razy, na pewno sie zgadza, a działać nie chce. Jak tylko gdzieś wpiszę jego maca, odłącza mu internet. Identyczne wpisy dla innych działają.
Wie ktoś o co może chodzić?

P.S. Arp pokazuje mac kolesia, tak że tego na pewno nie pomyliłem.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/