Sign In
Create Account
Am si eu o problema
Last Updated: Sep 11 2004 04:36, Started by
augustin1
, Sep 02 2004 17:19
·
0
0
#1
Posted 02 September 2004 - 17:19
|
care suna cam asa , am o retea de 18 calculatoare si doar 10 au net , iar restul i-si schimba ip-ul local si iau net fcara sa plateasca , si as vrea sa blochez MAC-urile pe fiecare ip in parte ... sa nu poata sa-si mai schimbe ip-ul local . precizez ca serverul e Slackware 10 . poate cineva sa ma ajute ?
|
Back to top
#2
Posted 02 September 2004 - 17:53
|
poti sa faci ce vrei tu cu iptables sau sa folosesti dhcp ca sa dai ip-uri numai adreselor MAC cunoscute. Problema este ca in momentul de fata e joaca de copil sa schimbi adresa MAC deci solutia asta nu e extrem de eficienta. O solutie ar fi folosirea de proxy cu autentificare la user/parola.
|
#3
Posted 02 September 2004 - 18:00
|
eu as incerca si varianta asta , nu sunt cine stie ce cunoscatori in materie sa poata face schimbari , dar sincer sa fiu eu nu stiu ce ar trebui sa pun ca sa blochez MAC-ul
|
#4
Posted 02 September 2004 - 19:00
|
iptables -A INPUT -j DROP -m mac --mac-source adresa:mac:de:blocat
Ai grija unde pui regula asta: trebuie sa fie inainte de regula de MASQ/NAT pt a 2-a solutie: ai un director in /etc/dhcpc care contine niste fisere de configurare pt dhcpd. De asemeni ai de configurat /etc/dhcpd.conf . Manualul este f. bun: man dhcpd.conf si te va ajuta foarte mult la editarea configului. [edit] forget about /etc/dhcpc ... e directorul pt clientul de dhcp. Trebuie sa setezi numai /etc/dhcpd.conf . Mi-a scapat ... se mai intimpla  [/edit]
|
#5
Posted 02 September 2004 - 20:50
|
Multumesc mult cianura , o sa incerc zilele astea si apoi o sa revin cu informatii , chiar daca reusesc tot am sa-ti zic
|
#6
Posted 03 September 2004 - 09:49
|
Quote Originally posted by cianura iptables -A INPUT -j DROP -m mac --mac-source adresa:mac:de:blocat [/edit] nu trebuie pusa regula pe FORWARD ? |
#7
Posted 03 September 2004 - 13:44
|
m pus asa
iptables --flush FORWARD iptables --policy FORWARD DROP iptables -A FORWARD -m mac --mac-source 00-C0-26-80-AD-00 -j ACCEPT iptables -A FORWARD -m mac --mac-source 00-0D-87-2A-D5-CC -j ACCEPT am dat restart la firewall si nu mi-a mai mers netul la comp .... dar pe server mergea netul ... Unde am gresit ? |
#8
Posted 03 September 2004 - 14:37
|
apoi am pus asta
$IPTABLES -A INPUT -p udp --dport 27005 -j ACCEPT [ asta era ] iptables -A INPUT -j DROP -m mac --mac-source 4C-00-10-3A-96-BC # ##DNAT #Modify addresses and uncomment to allow DNAT (port forwarding) [si asta era] care ar fi problema de tot nu merge ... am scris ceva gresit ... sau trebuia sa mai pune ceva ? |
#9
Posted 03 September 2004 - 14:44
|
La server ai 2 interfete, nu ? Le-ai pus pe amindoua ?
Decizia de a bloca sau a permite un pachet in fctie de MAC trebuie luata pe interfata care iti vede reteaua interna. Deci e bine sa introduci si flagul -i (--in-interface). De asemeni, pune-le sus, imediat dupa ce faci flush la tabele. Plus, nu prea vad sensul la policy pe acolo... |
#10
Posted 03 September 2004 - 14:56
|
Eu te cred , si banuiesc ca tu te pricepi , ce am facut eu acolo e ce am citi pe forum , deci eu nu am idee cum se face asta ... nu stiu daca intelegi ce vreau sa spun ... adica vreau sa spun ca nu stiu aproape deloc linux .. abia acuma incerc sa invat ...
Asa ca sa inteleg eu acuma ar trebui sa-mi scrii tu exact ce sa scriu litera cu litera si cuvint cu cuvint ... altfel nu cred ca am vreo sansa sa inteleg Mii de multumiri |
|
#11
Posted 03 September 2004 - 14:58
|
Nu am inteles ceva ... eu acolo am dat exemplu ce am facut eu , dar unde apar mac-urile puse ... sunt mac-urile celor din retea [ am facut probe pe 2 persoane din retea ]
|
#12
Posted 03 September 2004 - 16:13
|
trebuie puse amindoua regulile FORWARD si INPUT. In al doilea rind trebuie sa legi regulile de placa de retea interna (eth1 - in cazul asta). Problemele aditionale care apar vin de la faptul ca politica generala este de DROP si trebuie sa scrii reguli pt acces spre exterior pt servicii.
iptables -A INPUT -i eth1 -s 192.168.0.1 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.1 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT Si MAC-urile se declara cu : nu cu - cum ai scris tu in firewall ! |
#13
Posted 03 September 2004 - 17:52
|
Deci trebuie sa pun
iptables -A INPUT -i eth1 -s 192.168.0.1 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.1 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT pt fiecare MAC in parte nu ? |
#14
Posted 03 September 2004 - 18:40
|
yeap. din fericire sint numai 10 bucati. daca era numarul mai mare, iti recomandam cu caldura dhcpd.
spor ! 
|
#15
Posted 03 September 2004 - 19:51
|
$IPTABLES -A INPUT -p udp --dport 27005 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.200 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.200 -m mac --mac-source 00:C0:26:80:AD:00 -j ACCEPT cam asta am facut ce mi-ai zis tu , dar culmea a fost ca desi am pus pe un singur mac la toti le mergea netul .... 192.168.0.200 este ip-ul local al serverului # ##DNAT |
|
#16
Posted 03 September 2004 - 19:53
|
scuze ca nu am observat , am scris in continuare dar prima linie si ultima erau in firewall ca sa intelegi si unde am postat ce mi-ai zis tu
Cred ca te-am inebunit nu ? |
#17
Posted 03 September 2004 - 21:41
|
Regulile trebuiesc puse la inceput ca sa dea de pamint cu pachetele inainte de a ajunge la celelalte reguli. Masq/NAT se pune ultimul. Deci in cazul tau e bine sa ca regulile sa le pui imediat dupa ce faci flush si stabilesti politicile. Atentie ! Daca politica ta este sa dai de pamint cu pachetele adica: iptables -P DROP atunci regulile trebuiesc puse celor carora li se permite accesul si deci vei da regulile care le-am spus eu. Trebuie sa mearga. Sigur pe undeva ai o tabla care da drumul la pachete. Trimite-mi un pm si miine pe seara am sa incerc sa ma uit pe tot firewall-ul tau.
|
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users
-
- Change Theme
- English
- Mark Community Read
- Termene & conditii
- Confidentialitate
- Consimtamant
- Cookies
- Help
© 2001-2024 Softpedia. All rights reserved. Softpedia® and the Softpedia logo are registered trademarks of SoftNews Net SRL.
Ora implicita a Forumului Softpedia este ora standard a Romaniei (GMT+2). Mai multe informatii →
⚠ Postarile afisate pe Forumul Softpedia reprezinta o opinie subiectiva a membrilor care le-au publicat si nu a SoftNews Net SRL.