Mac filter RedHat

[Falen]

Čau ,

jde pomocí iptables zakázat všem zařízením přístup a povolit ho jenom těm kterých mac adresu napíšu do nějaké tabulky pomocí iptables ?? A jak to jde ? teda jestli to jde ... . Mockrát všem děkuji .... .

.......................i am linux noob..........

[Fox!MURDER]

rozhodne to jde. pokud pouzivas napr. shorewall tak takto
http://www.shorewall.net/MAC_Validation.html

jina reseni viz. http://www.google.cz/search?q=iptables+mac

[Falen]

Hm tak jsme vystudoval že mám napsat ?" iptables -a INPUT -m -mac -mac-source -j ACCEPT "

hodil jsem to tam a vyběhlo na mě :" iptables XXXX: could´n load match ´-mac´:/lib/iptables/libipt_-mac.so cannot open shared objekt file no such file or directory " .

Budu hádat že teda ten filtr na tom serveru asi není dělanej pomocí iptables že ? Ten shorewall jsem taky nikde nenašel ... .Jaké programy by to mohli ještě být ?? Jde to nějak zjistit ? Díkes

[Falen]

když hodím do řádky iptables -L -n
tak mi to vypíše
Chain INPUT (policy accept)
target prot opt source destination

Chain FORWARD (policy accept)
target prot opt source destination

Chain OUTPUt (policy accept)
target prot opt source destination

.
Ale nevím jak se dostnau někam kde by měli být již existující zapsané mac adresy .... .

[Fox!MURDER]

Hm tak jsme vystudoval že mám napsat ?" iptables -a INPUT -m -mac -mac-source -j ACCEPT "

hodil jsem to tam a vyběhlo na mě :" iptables XXXX: could´n load match ´-mac´:/lib/iptables/libipt_-mac.so cannot open shared objekt file no such file or directory " .

Budu hádat že teda ten filtr na tom serveru asi není dělanej pomocí iptables že ? Ten shorewall jsem taky nikde nenašel ... .Jaké programy by to mohli ještě být ?? Jde to nějak zjistit ? Díkes

mozna by bylo dobry, kdyz uz to opisujes, to opsat spravne ...

[Falen]

to jde o to "object" omlouvám se velice...

[Fox!MURDER]

iptables -a INPUT -m -mac -mac-source -j ACCEPT

iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

najdi 3 rozdily

[Falen]

Tak jasně mno . sorka mno. malé velké a nevyplnil jsme tu mac adresu sem protože to je zbytečné né ?? A ty -- , mám tam opravdu jen jendo - ... .

Tak to znamená že mi dál už neporadíš ??

[admix]

Ty chces filtrovat podle MAC adres, ale nevyplnis ji, protoze je zbytecna?
Je hezke, ze tam mas jen jednu -, ale prekvapive tam musi byt --

[Falen]

Ty chces filtrovat podle MAC adres, ale nevyplnis ji, protoze je zbytecna?
Je hezke, ze tam mas jen jednu -, ale prekvapive tam musi byt --

nevyplnil jsemjí sem.... ( edit : Tzn že v linuxu jsem jí měl samo napsanou )


a když tam dám dvě ty čárky tak to napíše to co jsem psal ... stejně ... .

Poradí někdo

[admix]

Muzes sem zkopirovat komplet celej prikaz i s navratovou chybou tak, jak to tam pises? MAC ti nikdo neukradne, neboj

[Falen]

[root@mail.muks ~]# iptables -A INPUT -m -mac --mac-source 00:1D:60:9E:9B:C5 -j ACCEPT
iptables v1.2.11: Couldn't load match `-mac':/lib/iptables/libipt_-mac.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.


Vím že verze iptables je stará ale to by nemělo vadit né ? nejsem zase až takový borec abych něco přeinstalovával .... . Nebute do dělaný nějakým jiným programem ??

[admix]

Ty vole
Tak jeste jednou (podruhe) - zkus ty prikazy opsat bez chyby, aneb "najdi tri rozdily" viz. vyse

[Falen]

soorrry


[root@mail.muks ~]# iptables -A INPUT -m mac --mac-source 00:21:702:14:7F -j ACCEPT
[root@mail.muks ~]#


ale nevypsalo to nějakou hlášku že je to ok , to je v pořádku ? lze se nějak podívat na mac adresy které tam jsou již zapsané ??

Edit: A hlavně s tím PC to nefunguje Pořád nevidím na ty síťové disky co jsou na serveru ...

[Falen]

Tak už jsme si to našel jak se to vypisuje a je tam jen jedna ta mac adresa ... takže to bude asi udělané pomocí jiného programu protože jsou tu Pcčka na kterých to běží v pohodě .... . ach jo

[admix]

Protoze mas policy ACCEPT a jedno pravidlo, ktere je ACCEPT - takze je vsechno povolene
Muzes to zkusit obracene - iptables -F a svoji MAC pristup zakaz (-j DROP)

[Falen]

Já ti nevím, mě se zdá že to není pomocí iptables .... . Protože těch pár PC co tu je tu beží a ty jejich mac adresy nejsou zapsané v těch INPUT FORWARD OUTPUT .... . Jakej jinej program to ještě děla krom toho shorewallu ??

[admix]

Tak kdyz se ti nezdaj iptables, tak muzes zkusit ebtables Podruhy rikam, ze tam mas policy accept, takze co neni explicitne REJECT/DROP, tak proste projde - ty MAC nemusi bejt nikde napsany

[Fox!MURDER]

Já ti nevím, mě se zdá že to není pomocí iptables .... . Protože těch pár PC co tu je tu beží a ty jejich mac adresy nejsou zapsané v těch INPUT FORWARD OUTPUT .... . Jakej jinej program to ještě děla krom toho shorewallu ??

vubec jsi nenapsal co resis a proc to resis. ale zda se ze s iptables a firewallem to nema spolecnyho vubec nic...

zkus chvili premejslet o tom, co uz jsi napsal a co dal pises a pak se zkus zamyslet nad tim, co my z tehle tvejch zmatenejch zprav asi tak muzeme pochopit. diky

[Falen]

Jsem asi píča ale pořád to nechápu a nebo ty nechápeš mě ... . přeci ty adresy co tu již jsou musejí být někde zapsány né ?? ten program si je nemuže pamatovat bez toho aniž by šlo zjistit které jsou povolené .... .
jinka měl jsi na mysli toho :

[root@mail.muks ~]# iptables -A INPUT -m mac --mac-source 00:21:702:14:7F -j DROP
[root@mail.muks ~]# iptables -A INPUT -m mac --mac-source 00:21:702:14:7F -j REJECT
[root@mail.muks ~]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere MAC 00:21:702:14:7F
REJECT all -- anywhere anywhere MAC 00:21:702:14:7F reject-with icmp-port-unreachable
[root@mail.muks ~]#

taky to nefunguje ....

[Falen]

na něco jsem narazil po zadaní příkazu co poradil jeden kamarád že bych měl vidět jak je to dělané ... ale mě to nic neříka

[root@mail.muks ~]# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 556K packets, 38M bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.255.2 tcp dpt:8888 to:192.168.100.5:80

Chain POSTROUTING (policy ACCEPT 5336K packets, 322M bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * * 192.168.100.5 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 5336K packets, 322M bytes)
pkts bytes target prot opt in out source destination
[root@mail.muks ~]#

IP adresu 192.168.100.5 má jeden disk který se tam přimountovává...

[admix]

NAT s tim nema co delat. mozna bude fakt nejlepsi, kdyz prehledne popises, co a jak hodlas delat

[Falen]

Tkaže , máme tu síť .... . Server poskytuje ruzné aplikace ostatním PC v síti ... . Když připojím jiný PC na naši síť tak PC nevidí ty síťové disky které poskytuje onen server , PC co tu byli od začátku v pohodě vidí vše potřebné .... . Usoudil jsem tedy že bude nějaký prográmek na filtrování mac adres na serveru nainstalován .... . A tědka teda nevím vůbec co s tím .... . Buď je to tak složité že nějaká rada není možná nebo jsem asi idiot... . Co myslíš ?? Jestli je to pomcí IPTABLES tak něco dělám špatně a jestli to je pomocí něčeho jiného tak potřebuju poradit pomocí čeho ... . Díky

[admix]

A neni ten pocitac v jiny workgroupe? Nemate to osefovany na urovni site (na switchi)?

[Falen]

EEE je píchnutej do stejného swiche jako počítač na kterém to fachá ....