Выход в интернет только для разрешённых MAC'ов

[Vovans]

Есть задача - выпускать в нет (через шлюз) только те компы, чьи маки в белом списке.

Настроил DHCP, сделал привязку ip и mac. Запретил выдавать левым компам настройки (deny unknown-clients). Но настройки и руками несложно вписать. С маком чуть сложнее. Так что, хотелось бы ещё резать все соединения от "неизвестных" девайсов из локалки.

Как можно это реализовать? Только используя iptables? Если да, то хотя бы примеры правил хотелось бы увидеть.

[koshev]

А в чём проблема? Запрешаеш форвард пакетов в цепочке FORWARD таблицы filter, разрешаешь нужные.
Пишешь скрипт.

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

#!/bin/sh
# file: /etc/init.d/access
# add access list mac address, flush & reload list

maclists=/path/to/file/maclists

[ -f $maclists ] || exit 0

do_start(){
  iptables -P FORWARD DROP
  iptables -N ACCESSMAC
  for macaddr in $(cat $maclists |grep -v "^#"); do
    iptables -A FORWARD -m mac --mac-source $macaddr -j ACCESSMAC
  done
  iptables -A ACCESSMAC -j ACCEPT
}

do_stop(){
  iptables -P FORWARD ACCEPT
  iptables -X FORWARD
  iptables -F FORWARD
}

case $1 in
      start)
      do_start
      echo "Filtering FORWARD iptables filter table start. \
      Using $(cat $maclists |grep -v "^#" | wc -l) addresses."
      ;;
      restart|reload)
      do_stop
      sleep 3
      do_start
      echo "Filtering FORWARD iptables filter table reload. \
      Using $(cat $maclists |grep -v "^#" | wc -l) addresses."
      ;;
      stop|flush)
      do_stop
      echo "Filtering FORWARD iptables filter table flushing."
      ;;
      *)
      echo "Usage: `basename $0` start|stop|restart|reload|flush"
esac

exit 0
И формат файла с мак-адресами

Код: (text) [Выделить]

aa:bb:cc:dd:ee:ff
00:01:02:03:04:05и т.д
Исключить из списка нужный мак, как обычно. # - в начале строки. Как автоматически запускать скрипт из init.d я не буду, в угле полно примеров.

Не правда ли, очень просто?
PS. Важно. Этот скрипт - не призыв к действию. Это лишь один из множества примеров, того как это возможно реализовать. Так что, дерзай

[Vovans]

Спасибо, завтра попробую

[koshev]

Только не говори, что не работает. Он вообще не для работы, а для примера. Грубо говоря, ты сам должен был его написать и протестировать.

[Unreg]

тут коммутаторы с ip mac port binding нужны. И/или авторизация через 802.1x
http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf