Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Blokowanie po MAC przez firewall
http://forum.freesco.pl/viewtopic.php?f=22&t=9349		 Strona 1 z 1
Autor:  VajruS [ piątek, 7 października 2005, 14:43 ]
Tytuł:  Blokowanie po MAC przez firewall
Witam,

W starym NND byl sobie plik /etc/rc.d/rc.firewall gdzie blokowalem dostep do Inetu po IP i MAC ...

Gdzie moge wpisac w NND z 10.7.2005 - te reguly firewalla zeby dzialalo to poprawnie?

Cytuj:

# lista uzytkownikow majcaych dostep do Inetu - wszyscy inni nie maja

iptables -N VALID

# komp1
iptables -A VALID -s 192.168.2.2 -m mac --mac-source 00:07:95:28:41:af -j ACCEPT

# komp2
iptables -A VALID -s 192.168.2.3 -m mac --mac-source 00:07:95:28:4d:29 -j ACCEPT

# komp3
iptables -A VALID -s 192.168.2.4 -m mac --mac-source 00:c0:df:ac:81:6a -j ACCEPT

iptables -A VALID -j DROP
iptables -A INPUT -i eth1 -j VALID
iptables -A FORWARD -i eth1 -j VALID




Chcialbym aby ten skrypt regul znalazl sie w oddzielnym pliku i byl wykonywany przy starcie, tylko nie wiem gdzie to umiescic, bo w tym nowym NND nie ma pliku rc.firewall

Ma ktos pomysl?

Z gory dzieki za podpowiedz(i) :)
Autor:  czerwo [ piątek, 7 października 2005, 14:45 ]
Tytuł: 
utworz np. w home plik blokuj_mac nadaj prawa wykonywalnosci (chmod +x blokuj_mac) a pozneiej to juz starczy do rc.local dopisac
Autor:  tasiorek [ sobota, 8 października 2005, 14:40 ]
Tytuł:  Re: Blokowanie po MAC przez firewall
VajruS pisze:
W starym NND byl sobie plik /etc/rc.d/rc.firewall gdzie blokowalem dostep do Inetu po IP i MAC ...

W nowym masz /etc/iptables/firewall
Autor:  VajruS [ poniedziałek, 7 listopada 2005, 01:43 ]
Tytuł: 
Witam,

Kurcze, cos mi ten patent nie dziala :( ...

Zrobilem ten skrypt w pliku j/w i mimo ze w iptables -L pokazuje te reguly to nic sie nie dzieje.

NIe wiem co to moze byc. Jakis pomysl moze ktos ma ?

Dodam ze uzywam firewall Czerwo a on chyba zastepuje jakies pliki konfiguracyjne firewalla.

Moze te regulki trzeba wpisac w jakims innym miejscu teraz z tym f. Czerwo ?
Autor:  KrzySie [ poniedziałek, 7 listopada 2005, 14:01 ]
Tytuł: 
VajruS pisze:
Witam,
Kurcze, cos mi ten patent nie dziala :( ...

Po co sobie komplikujesz życie?
W firewallu Czerwo masz możliwość ustawienia userów, którzy mają dostęp do netu w pliku ip_masq.
Dodatkowo zastosuj statyczne przypisanie adresu w dhcpd.conf
oraz /sbin/arp -f /etc/ethers i ten patent napewno zadziała.
Info: ethers chyba najlepiej wyedytować z pliku /var/state/dhcp/dhcpd.leases przez skopiowanie ze zmianą nazwy oraz wycięcie zbędnych wpisów.
Autor:  VajruS [ wtorek, 8 listopada 2005, 00:17 ]
Tytuł: 
Witam,

z tego co czytalem na forum, jesli zrobie wpisy w pliku ethers nie bede mogl zobaczyc komenda arp -a kto w danym momencie jest online bo zawsze beda statyczne wpisy a nie rzeczywiste.

Jesli nie uzywam dhcp w sieci to da to cos jesli przypisze na stale adresy ?
Dhcp chyba sprawdza poprostu mac i zdefiniowanemu MACowi przydziela adres. Ktos moze sobie recznie ustawic IP i bedzie dzialal inet jesli nie ma danej osoby akurat w siecio takim IP.

Ten moj sposob z ktorym mam teraz problem chyba najbardziej mi odpowiada bo blokuje sie usera na firewallu prosto tylko, ze w nowym NND okazuje sie nie tak prosto jak na starym NND ... jakies inne zasady sa niz w starym NND - zamotane :(
Autor:  KrzySie [ wtorek, 8 listopada 2005, 00:41 ]
Tytuł: 
VajruS pisze:
Ktos moze sobie recznie ustawic IP i bedzie dzialal inet jesli nie ma danej osoby akurat w siecio takim IP.(

Możesz nie używać dhcp. Jeśli będziesz miał plik ethers to nikt już nie może zająć adresu IP który już istnieje - będzie wywalało błąd.
Inne IP może sobie ustawić ale wtedy będzie miał nierutowalny adres (brak netu) - tu przydaje się firewall Czerwo.
A jeżeli nie możesz zobaczyć polecenia arp -a to użyj iptrafa.
Autor:  VajruS [ środa, 9 listopada 2005, 22:38 ]
Tytuł: 
Witam,

Tak tez zrobilem jak pisales:

- ARP
- Czerwo z masq na dane IP
- DHCP na wszelki w. jak ktos zapomni swych parametrow po instalcji windowsa ;)

Troche nie moglem ale sie przekonalem do tego rozwiazania. Dzieki za podpowiedzi. Teraz instaluje poptop i zobacze jak to dziala i czy wogole zadziala ;)
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/