Brak filtrowania MAC adresów

ksysinek · Post autor: **ksysinek** » 01 października 2010, 13:41

Na dzień dobry przyznam się bez bicia, że wcześniej nie miałem do czynienia z ruterami na Debianie. Zainstalowałem samodzielnie LMS-a na Debianie5 32bitowym. Prawie wszystko udało mi się skonfigurować. Jedyną rzeczą, która mnie martwi to brak filtracji MAC adresów. Dzieje się tak, ponieważ skrypt wygenerowany przez LMS-a

Kod: Zaznacz cały

/etc/init.d/rc.macs

wyświetla mi mnóstwo błędów:

Kod: Zaznacz cały

iptables: No chain/target/match by that name
[.....]
iptables: No chain/target/match by that name
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.
iptables: No chain/target/match by that name

Troszkę poszukałem z pomocą Google i natknąłem się (chyba na tym forum) na pana, który miał podobny problem tyle że z modułem ipp2p. Analogicznie do wspomnianego pana wykonałem polecenie modprobe i w tym momencie polecenie:

Kod: Zaznacz cały

lsmod | grep nat

wyświetla informację:

Kod: Zaznacz cały

iptable_nat             4680  1
nf_nat                 15576  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      12268  3 iptable_nat,nf_nat
nf_conntrack           55540  4 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
ip_tables              10160  3 iptable_mangle,iptable_filter,iptable_nat
x_tables               13284  5 xt_MARK,ipt_MASQUERADE,iptable_nat,ip_tables,ipt_ULOG

Niestety filtracja MAC adresów nadal nie działa. Ma ktoś pomysł, czego to może być wina?

Bastian · Post autor: **Bastian** » 02 października 2010, 10:26

Wklej reguły iptables

ksysinek · Post autor: **ksysinek** » 02 października 2010, 11:12

Kod: Zaznacz cały

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  172.16.1.0/24       172.16.1.0/24
ACCEPT     all  --  172.16.1.0/24       172.16.2.0/24
ACCEPT     all  --  172.16.1.0/24       siec240.domena.pl/29
ACCEPT     all  --  172.16.2.0/24      172.16.1.0/24
ACCEPT     all  --  172.16.2.0/24      172.16.2.0/24
ACCEPT     all  --  172.16.2.0/24      siec240.domena.pl/29
ACCEPT     all  --  siec240.domena.pl/29  172.16.1.0/24
ACCEPT     all  --  siec240.domena.pl/29  172.16.2.0/24
ACCEPT     all  --  siec240.domena.pl/29  siec240.domena.pl/29
ACCEPT     all  --  komp1             anywhere
ACCEPT     all  --  anywhere             komp1
ACCEPT     all  --  komp2                anywhere
ACCEPT     all  --  anywhere             komp2
ACCEPT     tcp  --  komp1             anywhere            tcp dpt:5900

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Post autor: **Yampress** » 03 października 2010, 13:47

To nie reguły.

ksysinek · Post autor: **ksysinek** » 03 października 2010, 15:44

Kod: Zaznacz cały

/sbin/iptables -t nat -F MACS
/sbin/iptables -t nat -A MACS -s 172.16.40.15 -m mac --mac-source 00:xx:xx:xx:xx:xx -j RETURN
/sbin/iptables -t nat -A MACS -s 172.16.40.16 -m mac --mac-source 00:xx:xx:xx:xx:xx -j RETURN
/sbin/iptables -t nat -A MACS -p tcp --dport 80 -j DNAT --to 172.16.171.1:81
/sbin/iptables -t nat -A MACS -p tcp --dport 8080 -j DNAT --to 172.16.171.1:81
/sbin/iptables -t nat -A MACS -j DROP

/sbin/iptables -t nat -F
/sbin/iptables -t filter -F
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t filter -A FORWARD -s 172.16.40.0/255.255.255.0 -d 172.16.40.0/255.255.255.0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 172.16.40.0/255.255.255.0 -d 172.16.40.0/255.255.255.0 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -s 172.16.40.0/255.255.255.0 -d 172.16.40.0/255.255.255.0 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 94.23.94.23/255.255.255.248 -d 172.16.40.0/255.255.255.0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 94.23.94.23/255.255.255.248 -d 172.16.40.0/255.255.255.0 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -s 94.23.94.23/255.255.255.248 -d 172.16.40.0/255.255.255.0 -j ACCEPT

/sbin/iptables -t filter -A FORWARD -s 172.16.40.15 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d 172.16.40.15 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 172.16.40.15 -j MASQUERADE
/sbin/iptables -t filter -A FORWARD -s 172.16.40.16 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d 172.16.40.16 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 172.16.40.16 -j MASQUERADE

# Przekierowanie portow

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to-destination 172.16.40.15
/sbin/iptables -A FORWARD -s 172.16.40.15 -p tcp --dport 5900 -j ACCEPT

# Limity predkosci

/sbin/iptables -t mangle -D FORWARD -i eth0 -j LIMITS >/dev/null 2>&1
/sbin/iptables -t mangle -D FORWARD -o eth0 -j LIMITS >/dev/null 2>&1
/sbin/iptables -t mangle -F LIMITS >/dev/null 2>&1
/sbin/iptables -t mangle -X LIMITS >/dev/null 2>&1
/sbin/iptables -t mangle -N LIMITS
/sbin/iptables -t mangle -I FORWARD -i eth0 -j LIMITS
/sbin/iptables -t mangle -I FORWARD -o eth0 -j LIMITS
/sbin/tc qdisc del root dev eth3
/sbin/tc qdisc add dev eth3 root handle 1: htb
/sbin/tc class add dev eth3 parent 1: classid 1:9998 htb rate 10mbit burst 1mbit
/sbin/tc class add dev eth3 parent 1:9998 classid 1:9999 htb rate 102500kbit burst 10250kbit
/sbin/tc qdisc del root dev eth0
/sbin/tc qdisc add dev eth0 root handle 1: htb
/sbin/tc class add dev eth0 parent 1: classid 1:9998 htb rate 10mbit burst 1mbit
/sbin/tc class add dev eth0 parent 1:9998 classid 1:9999 htb rate 102500kbit burst 10250kbit
/sbin/iptables -t mangle -A LIMITS -d 172.16.40.15 -j MARK --set-mark 1
/sbin/tc class add dev eth3 parent 1:9999 classid 1:1 htb rate 2400kbit ceil 2400kbit burst 300kbit
/sbin/tc filter add dev eth3 protocol ip parent 1: handle 1 fw classid 1:1
/sbin/iptables -t mangle -A LIMITS -s 172.16.40.15 -j MARK --set-mark 2

Post autor: **Yampress** » 03 października 2010, 20:24

Dodaj do reguł MAC adresy, które chcesz puszczać reszta domyślnie ma być blokowana.

Kod: Zaznacz cały

-m mac --mac-source  00:00:1c:d5:76:40

Przykładowo:

Kod: Zaznacz cały

/sbin/iptables -t nat -A POSTROUTING -s 172.16.40.16 -m mac --mac-source  00:00:1c:d5:76:40  -j MASQUERADE

Reguły musisz rozwinąć sam.