Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Фильтрация транзитного трафика по mac адресу с использыванием iptables (решено)  (Прочитано 7647 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Пакеты почему-то не проходят. Что не так?

при
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j DROP
пакеты с этого мака не доходят, то есть мак набран правильно, нат работает.

iptables -nvL
(Нажмите, чтобы показать/скрыть)

ifconfig -a
(Нажмите, чтобы показать/скрыть)

route -n
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 31 Май 2011, 11:23:22 от plavv »

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: Помогите настроить iptables
« Ответ #1 : 28 Май 2011, 14:01:20 »
http://www.google.ru/search?q=%09Помогите+настроить+iptables&submit=Поиск&sitesearch=ubuntu.ru&hl=ru
Ну сколько можно, а?
Если нельзя топику придумать нормальное поясняющее название, то задача тривиальная, тогда это 1.2.
Если можно топику придумать нормальное поясняющее название, то это надо сделать, тогда 2.4.
Не опускай рук, а то пропустишь в бороду

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #2 : 28 Май 2011, 14:56:37 »
iptables-save
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #3 : 28 Май 2011, 15:23:13 »
# Generated by iptables-save v1.4.4 on Sat May 28 17:24:32 2011
*nat
:PREROUTING ACCEPT [114:16240]
:POSTROUTING ACCEPT [20:2230]
:OUTPUT ACCEPT [24:3028]
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 10.15.103.39/32 -j SNAT --to-source 10.15.103.41
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 101.16.1.58
COMMIT
# Completed on Sat May 28 17:24:32 2011
# Generated by iptables-save v1.4.4 on Sat May 28 17:24:32 2011
*filter
:INPUT ACCEPT [1024:100896]
:FORWARD DROP [40:2664]
:OUTPUT ACCEPT [524:53446]
-A FORWARD -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
COMMIT
# Completed on Sat May 28 17:24:32 2011

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #4 : 28 Май 2011, 15:49:58 »
00:0F:E9:40:F9:0F Какая ип? Может она 192.168.123.123
arp -a | grep -i 00:0F:E9:40:F9:0F
« Последнее редактирование: 28 Май 2011, 15:52:30 от victor00000 »
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #5 : 28 Май 2011, 15:58:41 »
00:0F:E9:40:F9:0F Какая ип? Может она 192.168.123.123
arp -a | grep -i 00:0F:E9:40:F9:0F
? (192.168.0.2) at 00:0f:e9:40:f9:0f [ether] on eth1

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #6 : 28 Май 2011, 16:18:22 »
iptables -t filter -P FORWARD DROP Зачем? НЕ будет открыть.
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27319
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #7 : 28 Май 2011, 16:53:11 »
Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
Эй, голова-кочан капусты... А обратные пакеты кто за тебя пропускать будет?

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Фильтрация по mac адресу iptables
« Ответ #8 : 28 Май 2011, 17:07:54 »
Нужна фильтрация транзитного трафика по mac. Пишу:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
Эй, голова-кочан капусты... А обратные пакеты кто за тебя пропускать будет?

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

Ошибаю, Спасибо! Работает.))
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн IahrimanI

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Ребята, добрый день подскажите что поменять в этих правилах что бы запрещало ходить по всем мак адресам кроме указаных. Или дайте ссылку что бы почитать. Нужно реализовать времи на разбор очень мало. Спасибо.
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27319
    • Просмотр профиля
Топик читайте. Реализуйте. Всё перед вами.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн IahrimanI

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Дело в том что я не так давно в линукс, iptables довольно обширная тема, возможно Вы могли бы мне помочь с правилами ?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27319
    • Просмотр профиля
Если под "помочь" подразумевается "написать их за вас", то нет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн IahrimanI

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Я не прошу сделать всё за меня, давайте так я напишу правила а вы скажите так или нет ;)

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
#iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Запрещаем все соединения
iptables -t filter -P FORWARD DROP

#Разрешаем доступ по определённым мак адресам
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

#Разрешаем доступ это mac адрессу 00:0F:E9:40:F9:0F
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT


Как считаете в такой конфигурации должно получиться ?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27319
    • Просмотр профиля
iptables-save
показывайте, у меня нет встроенного в мозг интерпретатора шелл-скриптов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.12 секунд. Запросов: 24.