Фильтрация транзитного трафика по mac адресу с использыванием iptables (решено)

[plavv]

Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Пакеты почему-то не проходят. Что не так?

при
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j DROP
пакеты с этого мака не доходят, то есть мак набран правильно, нат работает.

iptables -nvL

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT 6805 packets, 763K bytes)

 pkts bytes target     prot opt in     out     source               destination        



Chain POSTROUTING (policy ACCEPT 254 packets, 25790 bytes)

 pkts bytes target     prot opt in     out     source               destination        

 1186 66559 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       10.15.103.39         0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       10.15.103.39         0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       10.15.103.39         0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:101.16.1.58

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       10.15.103.39         0.0.0.0/0           to:10.15.103.41

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:101.16.1.58

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:101.16.1.58

    0     0 SNAT       all  --  *      *       192.168.0.0/24       0.0.0.0/0           to:101.16.1.58



Chain OUTPUT (policy ACCEPT 424 packets, 39914 bytes)

 pkts bytes target     prot opt in     out     source               destination        

Chain INPUT (policy ACCEPT 67527 packets, 7487K bytes)

 pkts bytes target     prot opt in     out     source               destination        



Chain FORWARD (policy DROP 24 packets, 1340 bytes)

 pkts bytes target     prot opt in     out     source               destination        

   16   924 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0F:E9:40:F9:0F



Chain OUTPUT (policy ACCEPT 40450 packets, 9890K bytes)

 pkts bytes target     prot opt in     out     source               destination        

ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth1      Link encap:Ethernet  HWaddr 00:02:44:bf:5c:44  

          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

          inet6 addr: fe80::202:44ff:febf:5c44/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:30769 errors:0 dropped:0 overruns:0 frame:0

          TX packets:22412 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:4186191 (4.1 MB)  TX bytes:14363188 (14.3 MB)

          Interrupt:12 Base address:0x6000



eth2      Link encap:Ethernet  HWaddr 00:c0:26:69:63:36  

          inet addr:10.15.103.41  Bcast:10.15.103.255  Mask:255.255.255.0

          inet6 addr: fe80::2c0:26ff:fe69:6336/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:112424 errors:0 dropped:0 overruns:0 frame:0

          TX packets:55953 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:21557733 (21.5 MB)  TX bytes:14448818 (14.4 MB)

          Interrupt:10 Base address:0xbc00



eth3      Link encap:Ethernet  HWaddr 00:02:44:bf:5c:41  

          inet addr:101.16.1.58  Bcast:101.16.1.255  Mask:255.255.255.0

          inet6 addr: fe80::202:44ff:febf:5c41/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:23164 errors:0 dropped:0 overruns:0 frame:0

          TX packets:11297 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:2205168 (2.2 MB)  TX bytes:1079061 (1.0 MB)

          Interrupt:11 Base address:0xa000



lo        Link encap:Local Loopback  

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:846 errors:0 dropped:0 overruns:0 frame:0

          TX packets:846 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:55354 (55.3 KB)  TX bytes:55354 (55.3 KB)

route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

101.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth3

10.15.103.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2

10.0.0.0        101.16.1.5      255.0.0.0       UG    0      0        0 eth3

0.0.0.0         10.15.103.103   0.0.0.0         UG    100    0        0 eth2

[Дмитрий Бо]

http://www.google.ru/search?q=%09Помогите+настроить+iptables&submit=Поиск&sitesearch=ubuntu.ru&hl=ru
Ну сколько можно, а?
Если нельзя топику придумать нормальное поясняющее название, то задача тривиальная, тогда это 1.2.
Если можно топику придумать нормальное поясняющее название, то это надо сделать, тогда 2.4.

[victor00000]

iptables-save

[plavv]

# Generated by iptables-save v1.4.4 on Sat May 28 17:24:32 2011
*nat
:PREROUTING ACCEPT [114:16240]
:POSTROUTING ACCEPT [20:2230]
:OUTPUT ACCEPT [24:3028]
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 101.16.1.58
COMMIT
# Completed on Sat May 28 17:24:32 2011
# Generated by iptables-save v1.4.4 on Sat May 28 17:24:32 2011
*filter
:INPUT ACCEPT [1024:100896]
:FORWARD DROP [40:2664]
:OUTPUT ACCEPT [524:53446]
-A FORWARD -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
COMMIT
# Completed on Sat May 28 17:24:32 2011

[victor00000]

00:0F:E9:40:F9:0F Какая ип? Может она 192.168.123.123
arp -a | grep -i 00:0F:E9:40:F9:0F

[plavv]

00:0F:E9:40:F9:0F Какая ип? Может она 192.168.123.123
arp -a | grep -i 00:0F:E9:40:F9:0F

? (192.168.0.2) at 00:0f:e9:40:f9:0f [ether] on eth1

[victor00000]

iptables -t filter -P FORWARD DROP Зачем? НЕ будет открыть.

[AnrDaemon]

Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Эй, голова-кочан капусты... А обратные пакеты кто за тебя пропускать будет?

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

[victor00000]

Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Эй, голова-кочан капусты... А обратные пакеты кто за тебя пропускать будет?

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Ошибаю, Спасибо! Работает.))

[IahrimanI]

Ребята, добрый день подскажите что поменять в этих правилах что бы запрещало ходить по всем мак адресам кроме указаных. Или дайте ссылку что бы почитать. Нужно реализовать времи на разбор очень мало. Спасибо.
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

[AnrDaemon]

Топик читайте. Реализуйте. Всё перед вами.

[IahrimanI]

Дело в том что я не так давно в линукс, iptables довольно обширная тема, возможно Вы могли бы мне помочь с правилами ?

[AnrDaemon]

Если под "помочь" подразумевается "написать их за вас", то нет.

[IahrimanI]

Я не прошу сделать всё за меня, давайте так я напишу правила а вы скажите так или нет

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
#iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Запрещаем все соединения
iptables -t filter -P FORWARD DROP

#Разрешаем доступ по определённым мак адресам
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

#Разрешаем доступ это mac адрессу 00:0F:E9:40:F9:0F
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT


Как считаете в такой конфигурации должно получиться ?

[AnrDaemon]

iptables-save
показывайте, у меня нет встроенного в мозг интерпретатора шелл-скриптов.