Strona 2 z 3
: 10 października 2011, 09:17
autor: Bastian
A jakie reguły masz po tym jak pakiet wróci już z łańcucha MACCONTROL?
: 10 października 2011, 09:29
autor: Jarod
Pewnie tu jest problem.
Może inaczej. Jak taka reguła powinna wyglądać aby dostęp do sieci mieli tylko Ci którzy wrócili z łańcucha MACCONTROL?
: 12 października 2011, 07:54
autor: Jarod
Czy ktoś mógłby mi pomóc zrozumieć łańcuchy (pierwszy raz je używam).
Cały ruch z sieci 192.168.1.0/24 zostaje przekierowany do łańcucha MACCONTROL.
W łańcuchu MACCONTROL sprawdzane są powiązania IP-MAC, jeżeli zostanie odnaleziona odpowiednia para przetwarzanie łańcucha MACCONTROL zostaje przerwane, wykonane zostaje
Jak teraz zrobić aby te adresy IP-MAC, które były na liście został przepuszczone?
: 12 października 2011, 08:24
autor: mariaczi
Zapoznaj się z tym:
http://zsk.wsti.pl/publikacje/iptables_ ... nie.htm#c2
Objaśnienie opcji masz również po wpisaniu w konsoli
: 12 października 2011, 10:34
autor: Bastian
Jeżeli zostanie dopasowany do reguły to nie zostaje wykonany DROP tylko opuszcza łańcuch MACCONTROL i jest sprawdzany pod kątem kolejnych reguł. DROP dostaja tylko te pakiety, które nie opuszcza MACCONTROL bo nie zostaly dopasowane. Poczytaj tutoriale o iptables...
: 12 października 2011, 10:50
autor: Jarod
Fakt masz racje.
Jeżeli pakiet wraca do łańcucha FORWARD to sprawę powinna rozwiązać regułka dodana na samym końcu
Kod: Zaznacz cały
$IPTABLES -I FORWARD -i eth1 -s 192.168.1.0/24 -p tcp -j ACCEPT
ale to powoduje że wtedy wszyscy mają dostęp.
: 12 października 2011, 15:02
autor: mariaczi
Jeśli zamiast "-I" użyjesz "-A" w tym co podałeś, to będzie tak jak chcesz.
: 12 października 2011, 15:52
autor: Bastian
Posłuchaj kolegi wyżej.
Napisałem Ci, poczytaj poradniki. Gdybyś dokładnie to zrobił to wiedziałbyś, że samo -I doda ci wpis na początek łańcucha i dlatego przepuszcza wszystkich.
: 12 października 2011, 21:38
autor: Jarod
Napisałem regułkę na szybko. Staram się nie używać -I, w skrypcie mam wszędzie -A i dodawałem tak reguły aby całość była zoptymalizowana.
Na samym końcu skryptu mam:
Kod: Zaznacz cały
$IPTABLES -A FORWARD -i eth1 -s 192.168.1.0/24 -p tcp -j ACCEPT
i to nie działa.
Iptables, używam nie od dziś, napisałem że nie stosowałem do tej pory własnych łańcuchów, co nie znaczy, że uderzyłem na forum z głupim pytaniem bez uprzedniego poszperania w podręczniku systemowym.
Znalazłem w sieci wiele informacji, że właśnie takie filtrowanie po adresach mac (na własnym łańcuchu) jest najlepsze ale w moim przypadku nie działa tak jak trzeba. Ja tylko proszę o pomoc bo przejrzałem całość wiele razy i nie widzę błędu.
: 12 października 2011, 21:42
autor: Bastian
Pokaz wszystkie reguly jakie masz tym firewallu