Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Доступ к серверу по MAC адресу  (Прочитано 5527 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн LordMerlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Доступ к серверу по MAC адресу
« : 19 Декабря 2015, 16:04:15 »
Доброго дня уважаемые. Прошу строго не судить. Новичекс...собственно в чем суть, как ограничить доступ к серверу из интернета по МАС адресу? Сервер за роутером. Попробовал так

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -m mac --mac-source 00:C0:DF:10:19:FB -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "INPUT DROP: "
iptables -A INPUT DROP

По логу вижу что блокируется клиент. Причем в логе какой-то длиннющий МАС адрес.Пробовал его в правила подставлять, iptables-restore ругается на эту строку, видимо неправильный синтаксис.
Помогите пожалуйста.

kononvaler

  • Гость
Re: Доступ к серверу по MAC адресу
« Ответ #1 : 19 Декабря 2015, 16:39:23 »
А из интернета разве MAC адреса транслируются в пакете?

Оффлайн Pilot6

  • Старожил
  • *
  • Сообщений: 14037
  • Xubuntu 18.04
    • Просмотр профиля
Re: Доступ к серверу по MAC адресу
« Ответ #2 : 19 Декабря 2015, 16:43:16 »
LordMerlin,
Никак. Мак адреса существуют до ближайшего маршрутизатора.
Я в личке не консультирую. Вопросы задавайте на форуме.

Оффлайн LordMerlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Доступ к серверу по MAC адресу
« Ответ #3 : 21 Декабря 2015, 16:50:12 »
Так а что тогда посоветуете. Был бы белый ИП адрес статический другое бы дело. А может можно по ДДнс имени как то?

Пользователь решил продолжить мысль 21 Декабря 2015, 16:51:48:
А если сервак в ДМЗ выстаить?
« Последнее редактирование: 21 Декабря 2015, 16:51:48 от LordMerlin »

kononvaler

  • Гость
Re: Доступ к серверу по MAC адресу
« Ответ #4 : 21 Декабря 2015, 18:10:49 »
Белый и статический это разные понятия. Если серый то DDNS не получится (а регистрация в no-ip.org приведет к неминуемым атакам, замечено лично). Поставьте fail2ban неплохое описание что это вот например: http://putty.org.ru/articles/fail2ban-ssh.html
Хотя вы не сказали, что за доступ вы хотите ограничить снаружи.

Оффлайн LordMerlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Доступ к серверу по MAC адресу
« Ответ #5 : 21 Декабря 2015, 22:24:25 »
Спасибо, я в курсе чтем они различаются. И обычно когда покупаешь статический адрес, то дают обычно белый. У меня же другая проблема, хоть адреса и динамические но они белые так что с этим проблем нет. Доступ ТВ приставкам кабельных операторов. Путем подмены ДНС и поднятием на своей машине нДжинкса отдаем приставкам полный пакет услуг. При подписке на минимальный. Вот и хотел чтобы доступ давать только по МАС адресу клиента. Хотя вроде бы получается пока с конструкцией вида
iptables -A INPUT -s site.ddns.net -j ACCEPT
Главное чтобы случайно не выдал провайдер серый адрес. И плюс вопрос, как бороться со сменой адреса на клиенте при ежедневном рестарте РРоЕ сессии? ИП адрес то скешируется.

kononvaler

  • Гость
Re: Доступ к серверу по MAC адресу
« Ответ #6 : 22 Декабря 2015, 05:28:30 »
Спасибо, я в курсе чтем они различаются. И обычно когда покупаешь статический адрес, то дают обычно белый.
Извините, но статический адрес не может быть серым ну никак (не ну если конечно ваш провайдер совсем не обурел и продает внутренние серые адреса, только смысл в них какой, а потому такого не может быть). 
Цитировать
главное чтобы случайно не выдал провайдер серый адрес.
как это, провайдер вперемешку выдает то белые адреса, то за NAT пробрасывает? Впервые слышу, даже сложно представляю как реализовать без дополнительных ухищрений
Цитировать
как бороться со сменой адреса на клиенте при ежедневном рестарте РРоЕ сессии
да никак, потому то они и динамические адреса.
Не понял с приставками, а откуда они знают что надо днс резолвить у вас? или они с какой-то еще сети к вам конектятся, а затем уходят к провайдеру? или вы в них перенастроили авторизацию? непонятно откуда могут взяться несанкционированные клиенты в общем.

Оффлайн LordMerlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Доступ к серверу по MAC адресу
« Ответ #7 : 22 Декабря 2015, 23:19:39 »
Спасибо огромное, что отвечаете, и простите за немного нервный тон. Да, представьте себе местный Ростелеком развлекается иногда выдавая то серый то белый адрес в динамике. Спасибо что поправили, пока в статике серого не замечал. Ну да неважно.
В приставках указан ДНС сервер мой. Он сам на себя резолвит адрес сервера провайдера и проксирует нДжинксом запросы, и ответы от сервера, изменяя его таким образом чтобы приставки думали что у нас подключен полный пакет услуг.
Вот и хотелось бы ограничить как-то доступ к этому серверу. Слетели вчера настройки ИПТабла так злыдни засканировали его вдоль и поперек. Может fail2ban поставить? Но сможет ли он отличить хороших от плохих? Ведб приставки при активном переключении каналов много запросов делают.

Оффлайн LordMerlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Доступ к серверу по MAC адресу
« Ответ #8 : 23 Декабря 2015, 23:56:56 »
А может как то можно делать REJECT всем кто запрашивает не тот адрес или УРЛ?
« Последнее редактирование: 20 Июня 2019, 08:29:48 от zg_nico »

 

Страница сгенерирована за 0.054 секунд. Запросов: 23.