ebtables

[Arpeccop]

Цель: Проверять подключаемые компьютеры к VPN серверу по Mac адресам.

Знаю что делается при помощи ebtables, но как его устанавливать и настраивать самостоятельно разобраться не получается.
Прошу дать либо ссылки с подробным описанием установки и настройки ebtables, либо попробовать объяснить что делать с поставленной задачей.

[БТР]

ставим пакет bridge-utils
Создаем мост br0 на интерфейсе eth1
Поднимаем pppoe-server на br0

[Arpeccop]

вот нашел такую пропись для iptables:

iptables -A FORWARD -s 172.16.x.x -m mac ! --mac-source 00:11:22:33:xx:xx -j DROP
Пакет с IP-адресом источника 172.16.x.x пропускается только в том случае, если MAC-адрес источника равен 00:11:22:33:xx:xx. В противном случае он молча уничтожается.

прописал - но проверка по Mac не работает, в чем ошибка и будет ли это работать вообще?

[AnrDaemon]

Где и как именно прописал.

[Arpeccop]

В скрипт по настройке iptables, вписал.

[AnrDaemon]

dl('libastral');
Critical error: core dumped.

[Arpeccop]

и о чем мне это должно сказать?

[AnrDaemon]

Информацию давай! Телепаты повымерли от перенапряжения.

[Arpeccop]

#ebtables -A FORWARD -p IPv4 --ip-src 172.16.x.x -s '!' 00:11:22:33:xx:xx -j DROP

команду ввел - толку нет, пакеты от удаленной тачки как проходили так и проходят =(

какую именно инфу нада то?
Пользователь решил продолжить мысль 03 Декабря 2010, 15:38:54:Разобрался
iptables -I INPUT -s 172.16.x.x -m mac ! --mac-source 00:11:22:33:xx:xx -j DROP

поменял -A на -I
вроде работает.
если мак адрес не соответствует указанному то пакеты с ip блокируются.

Пользователь решил продолжить мысль 03 Декабря 2010, 16:52:42:Вообщем фокус не удался =(

Внутри локальной сети и сети провайдера с помощью этой команды Пакеты действительно блокируются в зависимости от Мак адреса, а вот из интернета пакеты проходят на ура игнорирую проверку =(
на сколько я понял команда
 iptables -I INPUT
работает только с локальными ресурсами - а чтотогда для инета писать надо?

[leha7hostel]

Прочитай наконец какая цепочка для чего служит!!!
http://www.opennet.ru/docs/RUS/iptables/#BASICS  --прочитай, не поленись и почти все вопросы отпадут сами собой!!!

И еще используй  -А, а не -I , если явно не собираешься задавать номер правила в цепочке

Команда   -I, --insert
Пример   iptables -I INPUT 1 --dport 80 -j ACCEPT
Описание   Вставляет новое правило в цепочку. Число, следующее за именем цепочки указывает номер правила, перед которым нужно вставить новое правило, другими словами число задает номер для вставляемого правила. В примере выше, указывается, что данное правило должно быть 1-м в цепочке INPUT.

Команда   -A, --append
Пример   iptables -A INPUT ...
Описание   Добавляет новое правило в конец заданной цепочки.

[fisher74]

Внутри локальной сети и сети провайдера с помощью этой команды Пакеты действительно блокируются в зависимости от Мак адреса, а вот из интернета пакеты проходят на ура игнорирую проверку =(
на сколько я понял команда
 iptables -I INPUT
работает только с локальными ресурсами - а чтотогда для инета писать надо?

Вообще MAC-адрес живёт только в пределах одного сетевого сегмента и таблесы тут не при чём.
Не пробовал перевернуть задачу наизнанку: Запретить всем и разрешить только с "правильным" MAC-ом?

И если что-то совсем уже не получается, может уже стоит прочитать инструкцию для использования инструмента? Хотя бы здесь

[AnrDaemon]

Как с вами туго...
iptables-save под спойлер.

[censor]

Внутри локальной сети и сети провайдера с помощью этой команды Пакеты действительно блокируются в зависимости от Мак адреса, а вот из интернета пакеты проходят на ура игнорирую проверку =(
на сколько я понял команда
 iptables -I INPUT
работает только с локальными ресурсами - а чтотогда для инета писать надо?

почитайте об устройстве TCP/IP и подобные вопросы отвалятся сами собой. MAC адрес изменяется на первом же шлюзе и дальнейшая адресация за пределами локальной сети идет по IP.