Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: iptables . Фильтрация по MAC через шлюз. IP адреса машин -динамичесские.  (Прочитано 2209 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Fox2

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Подскажите,пожалуйста, как можно сделать защиту сервера? Есть большая доменная сеть. Есть маленькая  подсеть. Связь с общей сетью через шлюз. В малой подсетке стоят компы и сервер для своих нужд (с статическим адресом). Там SAMBA и базы MYSQL для программ. На всех рабочих машинах - DHCP. MAC -адреса мне известны.IPTABLES фильтрует машины подсетки без проблем, но машины за шлюзом с известными MAC-ми отсекает напрочь. Если разрешаю MAC-адрес шлюза- пропускает всех из-за шлюза. 2 дня гуглил- ответа не нашел. Начал работать с UBUNTU недавно. Много чего ещё не знаю.Может кто сталкивался с такой задачей?

alexxnight

  • Гость
Не совсем понятно, что Вы хотите, чтобы было в итоге.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
На DHCP-сервере привязать IP к MAC, не?

Оффлайн Fox2

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
мне нужно чтобы к серверу имели доступ только те кому дозволено. Самое главное- тем из-за шлюза, кому я прописал MAC-адреса в iptables. За шлюзом- доменная сеть из тысяч компов. Защита SAMBA и MYSQL присутствует.

Пользователь решил продолжить мысль 29 Мая 2013, 17:21:28:
В домен сервер не подключаю. Мне нужно чтобы он был не в домене.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Ага, допёрло, чего вам надо.
Фильтр по MAC возможен только в пределах одной сети.
Т.е., если между клиентом и сервером стоит шлюз, то фильтр надо делать на шлюзе.

Оффлайн Fox2

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Шлюз - JUNIPER 410. К нему у меня нету доступа. Може есть другой способ защитится.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Либо фильтр по IP, либо поднимать туннель (SSH, VPN).
Если IP динамические, то остаются только туннели.

Оффлайн Fox2

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Попробую поднять информацию по  SSH и VPN. По IP файервол  у меня работал 2 года без проблем... Спасибо! Буду что-то искать. Безвыходных ситуаций не бывает...

 

Страница сгенерирована за 0.074 секунд. Запросов: 25.