|
Автор |
Сообщение |
Konstantin73
Новенький
Зарегистрирован: 18.09.2006 Сообщения: 51 Откуда: г.Ульяновск
|
|
|
|
Здравствуйте, подскажите пожалуйста, существует ли возможность отфильтровывать входящие интернет пакеты по mac адресам источника?
Система mandriva 2007, ядро 2.6.22.6 (включена поддержка фильтрации по mac-адресу), iptables v1.3.5
Проблема: Хочу открыть доступ к ftp серверу определенным клитенам интернет с известными mac-адресами.
Записано правило
-A net2fw -p tcp -m muiltiport --destination-ports 20,21 -m mac-source 00:00:00:00:00:00 -j ACCEPT
Однако для клиентов внешней сети оно не работает, хотя для локальных отрабатывает четко.
Предполагаю, что mac-адреса локальных хостов непосредственно взаимодейстуют с сервером и они известны, а удаленные пакеты не содержат исходных mac-адресов источника, а содеражт mac-адрес последнего коммутатора пакетов. Так ли это? |
|
Вернуться к началу |
|
|
Martin
Завсегдатай
Зарегистрирован: 28.07.2009 Сообщения: 623 Откуда: Харьков
|
|
|
|
Цитата: |
существует ли возможность отфильтровывать входящие интернет пакеты по mac адресам источника? |
имхо не целесообразно это. может так: "существует ли возможность отфильтровывать входящие интернет пакеты по ip адресам, процессам или приложениям источника?" |
|
Вернуться к началу |
|
|
Konstantin73
Новенький
Зарегистрирован: 18.09.2006 Сообщения: 51 Откуда: г.Ульяновск
|
|
|
|
Это было бы не плохо. |
|
Вернуться к началу |
|
|
Martin
Завсегдатай
Зарегистрирован: 28.07.2009 Сообщения: 623 Откуда: Харьков
|
|
|
|
mac адрес закреплен за устройством - этого уже пожалуй достаточно чтобы забыть о нем. |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Martin, MAC-адрес при желании можно изменить |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
Konstantin73
Новенький
Зарегистрирован: 18.09.2006 Сообщения: 51 Откуда: г.Ульяновск
|
|
|
|
Так все же возможно ли фильтровать внешний трафик по mac-адресам источника пакета? Это было бы очень удобно, даже если возможно изменить mac-адес, то угадать 5-8 разрешных в правилах mac-адресов было бы проблемотично. Вопрос: в ip пакете, пришедшем из сети (прошедшим множество маршрутизаторов, коммутаторов) имеется ли информация о mac-адресе источника пакета, и если есть, то может ли ее извлечь iptables и использовать для фильтрации? |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Внешний нет, внутренний - да |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
Anderson
Завсегдатай
Зарегистрирован: 08.07.2006 Сообщения: 642 Откуда: localhost
|
|
|
|
Konstantin73 писал(а): |
Так все же возможно ли фильтровать внешний трафик по mac-адресам источника пакета? Это было бы очень удобно, даже если возможно изменить mac-адес, то угадать 5-8 разрешных в правилах mac-адресов было бы проблемотично. Вопрос: в ip пакете, пришедшем из сети (прошедшим множество маршрутизаторов, коммутаторов) имеется ли информация о mac-адресе источника пакета, и если есть, то может ли ее извлечь iptables и использовать для фильтрации? |
Он не идет вместе с TCP-пакетами. Его нужно резолвить отдельно.
Однако iptables умеет с ним работать.
Вот манка:
Код: |
man iptables | grep mac -i -C 1 |
А тут - детальнее про методы.
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html _________________ ArchLinux + Enlightenment 17 (E17) |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Anderson, а как ты собрался получить МАК-адрес внешнего устройства? Да, есть цепочка INPUT, но предполагается, когда пакеты пришли по Ethernet-сети. Когда же пакеты приходят из Инета, МАК-адрес ты не вычислишь |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
Anderson
Завсегдатай
Зарегистрирован: 08.07.2006 Сообщения: 642 Откуда: localhost
|
|
|
|
den писал(а): |
Anderson, а как ты собрался получить МАК-адрес внешнего устройства? Да, есть цепочка INPUT, но предполагается, когда пакеты пришли по Ethernet-сети. Когда же пакеты приходят из Инета, МАК-адрес ты не вычислишь |
А-а. Я не заметил просто, что в вопросе траффик - внешний. _________________ ArchLinux + Enlightenment 17 (E17) |
|
Вернуться к началу |
|
|
Konstantin73
Новенький
Зарегистрирован: 18.09.2006 Сообщения: 51 Откуда: г.Ульяновск
|
|
|
|
Всем большое спасибо, мне теперь ясно, что использовать мас-адрес для фильтрации пакетов, пришедших из внешней сети (интернет) не возможно. |
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
Konstantin73, настрой нормально ftp (VSFTPD) и задействуй fail2ban. Будет более чем достаточная защита! |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Так и есть, тему закрываю |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
|
|