Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: MAC адреса и IPTABLES  (Прочитано 618 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AROR

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
MAC адреса и IPTABLES
« : 27 Февраль 2015, 19:36:20 »
Всем доброго времени суток.
Для начала поясню суть проблемы. Имеется 80% машин в домене, 10% без домена постоянные клиенты и еще 10% всякие начальники которые приезжают с новыми девайсами (соответсвенно за маками не уследишь) и нужен вай-фай. Из-за такой схемы, закрыть доступ всем кроме белого списка маков, мягко говоря не удобно.

Нужно реализовать ограничение скорости (в том числе и на 443 порту, поэтому сквид не вариант, проксирование прозрачное) на всех открытых портах для всех MAC адресов в сети кроме белого списка. После анализа access логов... хочется максимально высвободить канал для тех кто занимается работой на работе.

Подскажите как это реализовать по средствам iptables, белых маков будет не больше 20, думаю это не проблема для NAT.

iptables-save прилагаю:
# Generated by iptables-save v1.4.21 on Fri Feb 27 19:33:31 2015
*mangle
:PREROUTING ACCEPT [1551886:1285641365]
:INPUT ACCEPT [482547:396991269]
:FORWARD ACCEPT [1069022:888622551]
:OUTPUT ACCEPT [480833:459736800]
:POSTROUTING ACCEPT [1543423:1346816540]
COMMIT
# Completed on Fri Feb 27 19:33:31 2015
# Generated by iptables-save v1.4.21 on Fri Feb 27 19:33:31 2015
*nat
:PREROUTING ACCEPT [53710:4966060]
:INPUT ACCEPT [4776:237972]
:OUTPUT ACCEPT [9179:552697]
:POSTROUTING ACCEPT [9329:560231]
-A PREROUTING -s 192.168.111.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.111.0/24 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.111.2:3389
-A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.111.2:1723
-A POSTROUTING -s 192.168.111.0/24 ! -d 192.168.111.0/24 -j SNAT --to-source ВНЕШНИЙ_БЕЛЫЙ_IP
COMMIT
# Completed on Fri Feb 27 19:33:31 2015
# Generated by iptables-save v1.4.21 on Fri Feb 27 19:33:31 2015
*filter
:INPUT DROP [33802:2414679]
:FORWARD DROP [6432:1542811]
:OUTPUT ACCEPT [480842:459738280]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -s 192.168.111.1/32 -j ACCEPT
-A INPUT -s 192.168.111.0/24 -i eth1 -p tcp -m multiport --dports 53 -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.111.0/24 -i eth1 -p tcp -m multiport --dports 22 -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.111.0/24 -i eth1 -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name radiator --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 10800 --hitcount 3 --name radiator --mask 255.255.255.255 --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -j ULOG
-A INPUT -s 192.168.111.0/24 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 20,21,25,80,110,123,465,515 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 20,21,25,80,110,123,465,515 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 631,666,993,995,443,5222,5223,8080 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 631,666,993,995,443,5222,5223,8080 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p udp -m multiport --dports 53,123,137,138,465,995,4080 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m multiport --dports 53,123,137,138,465,995,4080 -j ACCEPT
-A FORWARD -s 192.168.111.101/32 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.111.101/32 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.111.249/32 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.111.249/32 -o eth0 -j ACCEPT
-A FORWARD -j ULOG
COMMIT
# Completed on Fri Feb 27 19:33:31 2015

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #1 : 27 Февраль 2015, 20:15:41 »
купите microtik и используйте его как ap
там есть и гостевые сети и резка скорости и приоритеты

Оффлайн AROR

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #2 : 27 Февраль 2015, 20:18:07 »
Кризис на дворе :D
Хотелось бы вариации на данную тему...

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #3 : 27 Февраль 2015, 22:18:09 »
Возможно не совсем то, но посмотрите в сторону limit в iptables

alexxnight

  • Гость
Re: MAC адреса и IPTABLES
« Ответ #4 : 28 Февраль 2015, 00:00:10 »
А что тут с помощью limit можно сделать?

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #5 : 28 Февраль 2015, 00:08:13 »
Цитировать
Кризис на дворе
4к рубля для конторы дорого?и избавит вас от гимора...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27506
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #6 : 28 Февраль 2015, 00:16:25 »
Дорого. Даже один рубль - дорого.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #7 : 28 Февраль 2015, 00:39:18 »
О limit можете почитать здесь:

Оффлайн AROR

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #8 : 28 Февраль 2015, 12:09:14 »
Спасибо, почитаю.
Ну как вариант микротик рассмотрю, может просуну в свой бюджет.
Какую модель посоветуете из недорогих?

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #9 : 28 Февраль 2015, 16:33:02 »
Если не надо гигабитных портов, то http://market.yandex.ru/product/10413785/?hid=723087&clid=502

Я раньше тоже пытался заниматься "порнографией", плюнул и освободил себе время....

alexxnight

  • Гость
Re: MAC адреса и IPTABLES
« Ответ #10 : 02 Март 2015, 22:50:28 »
Я может быть повторюсь, но как limit решит проблему ограничения скорости?
Ограничение кол-ва подключений в единицу времени по протоколу tcp - да. В вариациях с conntrack - ограничение новых соединений по udp, icmp.
Но скорость как можно ограничить? Может я чего-то не понимаю?

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: MAC адреса и IPTABLES
« Ответ #11 : 03 Март 2015, 16:11:00 »
Я может быть повторюсь, но как limit решит проблему ограничения скорости?

Ограничение по количеству пакетов в единицу времени.
Хотя ТС это вряд ли подойдет... Для шейпинга трафика нужно смотреть в сторону tc

alexxnight

  • Гость
Re: MAC адреса и IPTABLES
« Ответ #12 : 03 Март 2015, 18:46:55 »
Вот и я о том! Если использовать limit или hashlimit, то часть пакетов просто будут дропаться. Целостность передаваемых данных нарушится...

limit или hashlimit должны использоваться совместно с new, syn пакетами для tcp протокола, или с new пакетами для других протоколов.

Да, ТС нужен шейпер.

 

Страница сгенерирована за 0.125 секунд. Запросов: 24.