Zentyal как закрыть доступ в интернет по MAC адресу компьютера!!!

[tunsa]

Всем добрый день!
Нарисовалась такая проблема, создаём ОБЪЕКТ СЕТИ задаем: имя, ip-адрес, MAC адрес. Далее в Файрволе заходим в фильр пакетов потом выбираем "Правила Фильтрации между внутренними сетями" Добавляем новое правило
Решение:DENY
Источник объекта: добавляем ранее созданный объект.
Назначение: Любой
Служба: http

После чего на пользовательской машине ставим статический адрес, интернета нет, как только меняю ip адрес интернет появляется, но а по mac адресу банить не хочет......? кто-нибудь сталкивался с данной проблемой или может кто-нибудь знает как её решить,

[xeon_greg]

это правило с критериями объединенными по принципу 'И', те будет срабатывать, когда айпи адрес и мак адрес совпадут с правилом., меняя айпи ты нарушаешь условие, и естественно все перестает работать. рубай только по мак адресу и все будет работать независимо от айпи.
Пользователь решил продолжить мысль 28 Октября 2011, 15:11:45:или как второй вариант идти от обратного, так даже правильнее. закрываем доступ по умолчанию всем, а затем открываем, только при условии соответствия мака и айпи

[tunsa]

а как быть по второму варианту, если ip адреса раздаются через DHCP???

а первый вариант не прокатывает!!!

Пользователь решил продолжить мысль 28 Октября 2011, 16:21:22:

это правило с критериями объединенными по принципу 'И', те будет срабатывать, когда айпи адрес и мак адрес совпадут с правилом., меняя айпи ты нарушаешь условие, и естественно все перестает работать. рубай только по мак адресу и все будет работать независимо от айпи.

[xeon_greg]

DHCP позволяет выдавать одни и те же ip согласно мака - это по второму,
по первому, что-то не вижу изменений.

[tunsa]

по первому, что-то не вижу изменений.

ты написал, что руби только по mac я и скинула картинку что по mac не получается рубить выдаёт ошибку "неправельное значение network address"

[xeon_greg]

ну так напиши туда 0.0.0.0,маска 0.  дело в том, что вэб морда - тупая, и если ты не указываешь ip она сама не подставляет нули и считает ошибкой, в случае если бы руками прописыалось в iptables  , не указывая источник, а указывая просто мак, туда автоматически подставлялись бы нули. вот как выглядит такоe правило в iptables

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:AA:BB:CC:DD:EE reject-with icmp-port-unreachable

Пользователь решил продолжить мысль 28 Октября 2011, 17:09:12:ха, объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным...
Пользователь решил продолжить мысль 28 Октября 2011, 17:11:16:или лезть в консоль и вручную добавлять нужно правило в iptables.....всегда самое гибкое решение, чем морды, все тяжело предусмотреть, параметров и критериев - масса. 
Пользователь решил продолжить мысль 28 Октября 2011, 17:13:26:есть вероятно, еще один путь, более тернистый, если проэкт открытый и все исходники доступны, запросто можно модифицировать морду и добавить нужные критерии...

[tunsa]

ну так напиши туда 0.0.0.0,маска 0.  дело в том, что вэб морда - тупая, и если ты не указываешь ip она сама не подставляет нули и считает ошибкой, в случае если бы руками прописыалось в iptables  , не указывая источник, а указывая просто мак, туда автоматически подставлялись бы нули. вот как выглядит такоe правило в iptables

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:AA:BB:CC:DD:EE reject-with icmp-port-unreachable

Пользователь решил продолжить мысль 28 Октября 2011, 17:09:12:ха, объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным...
Пользователь решил продолжить мысль 28 Октября 2011, 17:11:16:или лезть в консоль и вручную добавлять нужно правило в iptables.....всегда самое гибкое решение, чем морды, все тяжело предусмотреть, параметров и критериев - масса.

ну когда я написла 0.0.0.0,маска 0 пишет ошибку всё равно не меняет........или я что-то не так делаю??

[xeon_greg]

все так, но

вэб морда - тупая,объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным..

[tunsa]

ну второй вариант я знала, просто думала может как то маку можно))) ладно спасибо пойду пробовать

потом отпишусь)
Пользователь решил продолжить мысль 28 Октября 2011, 17:25:59:
есть вероятно, еще один путь, более тернистый, если проэкт открытый и все исходники доступны, запросто можно модифицировать морду и добавить нужные критерии...
[/quote]



а ещё по третьему вароианту как это осуществить?

[xeon_greg]

если проэкт  открытый - значит должны быть доступны исходники морды, далее определить на чем написана морда, php или еще что,  найти в исходниках формы фаервола, добавить нужные поля (мак к примеру при неиспользовании объектов), модифицировать поля базы данных где он хранит свои настройки, функции которые сохраняют в базу настройки и выгружают их из базы в ядро...