iptables - filtrowanie dost

Bastian · Post autor: **Bastian** » 10 października 2011, 09:17

A jakie reguły masz po tym jak pakiet wróci już z łańcucha MACCONTROL?

Jarod · Post autor: **Jarod** » 10 października 2011, 09:29

Pewnie tu jest problem.
Może inaczej. Jak taka reguła powinna wyglądać aby dostęp do sieci mieli tylko Ci którzy wrócili z łańcucha MACCONTROL?

Jarod · Post autor: **Jarod** » 12 października 2011, 07:54

Czy ktoś mógłby mi pomóc zrozumieć łańcuchy (pierwszy raz je używam).

Cały ruch z sieci 192.168.1.0/24 zostaje przekierowany do łańcucha MACCONTROL.
W łańcuchu MACCONTROL sprawdzane są powiązania IP-MAC, jeżeli zostanie odnaleziona odpowiednia para przetwarzanie łańcucha MACCONTROL zostaje przerwane, wykonane zostaje

Kod: Zaznacz cały

$IPTABLES -A MACCONTROL -j DROP

Jak teraz zrobić aby te adresy IP-MAC, które były na liście został przepuszczone?

mariaczi · Post autor: **mariaczi** » 12 października 2011, 08:24

Zapoznaj się z tym: http://zsk.wsti.pl/publikacje/iptables_ ... nie.htm#c2
Objaśnienie opcji masz również po wpisaniu w konsoli

Kod: Zaznacz cały

man iptables

Bastian · Post autor: **Bastian** » 12 października 2011, 10:34

Jeżeli zostanie dopasowany do reguły to nie zostaje wykonany DROP tylko opuszcza łańcuch MACCONTROL i jest sprawdzany pod kątem kolejnych reguł. DROP dostaja tylko te pakiety, które nie opuszcza MACCONTROL bo nie zostaly dopasowane. Poczytaj tutoriale o iptables...

Jarod · Post autor: **Jarod** » 12 października 2011, 10:50

Fakt masz racje.
Jeżeli pakiet wraca do łańcucha FORWARD to sprawę powinna rozwiązać regułka dodana na samym końcu

Kod: Zaznacz cały

$IPTABLES -I FORWARD -i eth1 -s 192.168.1.0/24 -p tcp -j ACCEPT

ale to powoduje że wtedy wszyscy mają dostęp.

mariaczi · Post autor: **mariaczi** » 12 października 2011, 15:02

Jeśli zamiast "-I" użyjesz "-A" w tym co podałeś, to będzie tak jak chcesz.

Bastian · Post autor: **Bastian** » 12 października 2011, 15:52

Posłuchaj kolegi wyżej.

Napisałem Ci, poczytaj poradniki. Gdybyś dokładnie to zrobił to wiedziałbyś, że samo -I doda ci wpis na początek łańcucha i dlatego przepuszcza wszystkich.

Jarod · Post autor: **Jarod** » 12 października 2011, 21:38

Napisałem regułkę na szybko. Staram się nie używać -I, w skrypcie mam wszędzie -A i dodawałem tak reguły aby całość była zoptymalizowana.
Na samym końcu skryptu mam:

Kod: Zaznacz cały

$IPTABLES -A FORWARD -i eth1 -s 192.168.1.0/24 -p tcp -j ACCEPT

i to nie działa.

Iptables, używam nie od dziś, napisałem że nie stosowałem do tej pory własnych łańcuchów, co nie znaczy, że uderzyłem na forum z głupim pytaniem bez uprzedniego poszperania w podręczniku systemowym.

Znalazłem w sieci wiele informacji, że właśnie takie filtrowanie po adresach mac (na własnym łańcuchu) jest najlepsze ale w moim przypadku nie działa tak jak trzeba. Ja tylko proszę o pomoc bo przejrzałem całość wiele razy i nie widzę błędu.

Bastian · Post autor: **Bastian** » 12 października 2011, 21:42

Pokaz wszystkie reguly jakie masz tym firewallu