Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Zentyal как закрыть доступ в интернет по MAC адресу компьютера!!!  (Прочитано 4894 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tunsa

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Всем добрый день!
Нарисовалась такая проблема, создаём ОБЪЕКТ СЕТИ задаем: имя, ip-адрес, MAC адрес. Далее в Файрволе заходим в фильр пакетов потом выбираем "Правила Фильтрации между внутренними сетями" Добавляем новое правило
Решение:DENY
Источник объекта: добавляем ранее созданный объект.
Назначение: Любой
Служба: http

После чего на пользовательской машине ставим статический адрес, интернета нет, как только меняю ip адрес интернет появляется, но а по mac адресу банить не хочет......???? кто-нибудь сталкивался с данной проблемой или может кто-нибудь знает как её решить, ???

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
это правило с критериями объединенными по принципу 'И', те будет срабатывать, когда айпи адрес и мак адрес совпадут с правилом., меняя айпи ты нарушаешь условие, и естественно все перестает работать. рубай только по мак адресу и все будет работать независимо от айпи.

Пользователь решил продолжить мысль 28 Октябрь 2011, 15:11:45:
или как второй вариант идти от обратного, так даже правильнее. закрываем доступ по умолчанию всем, а затем открываем, только при условии соответствия мака и айпи
« Последнее редактирование: 28 Октябрь 2011, 15:11:45 от xeon_greg »

Оффлайн tunsa

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
а как быть по второму варианту, если ip адреса раздаются через DHCP???

а первый вариант не прокатывает!!!


Пользователь решил продолжить мысль 28 Октябрь 2011, 16:21:22:
это правило с критериями объединенными по принципу 'И', те будет срабатывать, когда айпи адрес и мак адрес совпадут с правилом., меняя айпи ты нарушаешь условие, и естественно все перестает работать. рубай только по мак адресу и все будет работать независимо от айпи.
« Последнее редактирование: 28 Октябрь 2011, 16:22:18 от tunsa »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
DHCP позволяет выдавать одни и те же ip согласно мака - это по второму,
по первому, что-то не вижу изменений.

Оффлайн tunsa

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля

по первому, что-то не вижу изменений.

ты написал, что руби только по mac я и скинула картинку что по mac не получается рубить выдаёт ошибку "неправельное значение network address"



Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
ну так напиши туда 0.0.0.0,маска 0.  дело в том, что вэб морда - тупая, и если ты не указываешь ip она сама не подставляет нули и считает ошибкой, в случае если бы руками прописыалось в iptables  , не указывая источник, а указывая просто мак, туда автоматически подставлялись бы нули. вот как выглядит такоe правило в iptables
Цитировать
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:AA:BB:CC:DD:EE reject-with icmp-port-unreachable

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:09:12:
ха, объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным...

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:11:16:
или лезть в консоль и вручную добавлять нужно правило в iptables.....всегда самое гибкое решение, чем морды, все тяжело предусмотреть, параметров и критериев - масса. 

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:13:26:
есть вероятно, еще один путь, более тернистый, если проэкт открытый и все исходники доступны, запросто можно модифицировать морду и добавить нужные критерии...
« Последнее редактирование: 28 Октябрь 2011, 17:13:26 от xeon_greg »

Оффлайн tunsa

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
ну так напиши туда 0.0.0.0,маска 0.  дело в том, что вэб морда - тупая, и если ты не указываешь ip она сама не подставляет нули и считает ошибкой, в случае если бы руками прописыалось в iptables  , не указывая источник, а указывая просто мак, туда автоматически подставлялись бы нули. вот как выглядит такоe правило в iptables
Цитировать
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:AA:BB:CC:DD:EE reject-with icmp-port-unreachable

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:09:12:
ха, объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным...

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:11:16:
или лезть в консоль и вручную добавлять нужно правило в iptables.....всегда самое гибкое решение, чем морды, все тяжело предусмотреть, параметров и критериев - масса.

ну когда я написла 0.0.0.0,маска 0 пишет ошибку всё равно не меняет........или я что-то не так делаю?????

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
все так, но
Цитировать
вэб морда - тупая,объект без ip не может существовать... , и других критериев фильтрования кроме ip , не используя объекта, - нет, в таком случае действительно остается, как я уже говорил, более  правильный вариант, и разработчики его и придерживаются,запрещать всем - разрешать только избранным..

Оффлайн tunsa

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
ну второй вариант я знала, просто думала может как то маку можно))) ладно спасибо пойду пробовать ;)

потом отпишусь)

Пользователь решил продолжить мысль 28 Октябрь 2011, 17:25:59:

есть вероятно, еще один путь, более тернистый, если проэкт открытый и все исходники доступны, запросто можно модифицировать морду и добавить нужные критерии...
[/quote]



а ещё по третьему вароианту ??? как это осуществить????
« Последнее редактирование: 28 Октябрь 2011, 17:25:59 от tunsa »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
если проэкт  открытый - значит должны быть доступны исходники морды, далее определить на чем написана морда, php или еще что,  найти в исходниках формы фаервола, добавить нужные поля (мак к примеру при неиспользовании объектов), модифицировать поля базы данных где он хранит свои настройки, функции которые сохраняют в базу настройки и выгружают их из базы в ядро... :) 

 

Страница сгенерирована за 0.09 секунд. Запросов: 25.