Sie sind nicht angemeldet.

[gelöst] Mittels iptables unbekannte MAC sperren

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Peopls

Anfänger

  • »Peopls« ist männlich
  • »Peopls« ist der Autor dieses Themas

Beiträge: 20

  • Nachricht senden

1

22.03.2006, 12:24

[gelöst] Mittels iptables unbekannte MAC sperren

Hallo,
ich habe ja nun schon ein paar Erfahrungen in sachen iptables gesammelt (danke epikur), habe aber nun noch folgendes problem. Grundsätzlich leite ich alles IP´s (intern eth0) auf den Apacheserver, welcher auch als router arbeitet, um.
Dadurch kann nun schonmal keiner "direkt" ins Internet. Ändert nun jemand, der nicht ins web darf, seine IP in eine freigegebene um, issa drin. Nun würde ich gern mittels iptables und den MACADRESSEN den Zugang über den router für nicht freigegebene MACADRESSEN zusätzlich sperren....
wie kann ich eine Regel, die grundsätzlich erstmal alle MACADRESSEN ins internet (bzw. bei mir über externe eth1) sperrt erstellen....

THX
Peopls

Kouta

Anfänger

Beiträge: 46

Wohnort: Hamburg

Beruf: Sysadm

  • Nachricht senden

2

22.03.2006, 15:27

RE: Mittels iptables unbekannte MAC sperren

Iptables weiß nichts von MAC Adressen. Das ist eine andere OSI-Schicht.
http://de.wikipedia.org/wiki/OSI-Modell
Wa-kon Yo-sai.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Kouta« (22.03.2006, 15:29)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

3

22.03.2006, 16:54

RE: Mittels iptables unbekannte MAC sperren

mit -m mac kann das modul zur mac-adressen überprüfung geladen werden. mit dem modul sind dann nachfolgende optionen möglich
--mac-source [!] xx:xx:xx:xx:xx:xx ; -m multiport ; --source-port [port [,port ] ] ; --destination-port [port [,port ] ] ; --port [port [,port ] ]
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Kouta

Anfänger

Beiträge: 46

Wohnort: Hamburg

Beruf: Sysadm

  • Nachricht senden

4

22.03.2006, 16:59

RE: Mittels iptables unbekannte MAC sperren

Nehme alles zurück und behaupte das Gegenteil. ;)
Verzeihung wg. der Fehlinformation.. mir ist das neu (und es widerspricht auch etwas meinem Verständnis von Iptables).
Wa-kon Yo-sai.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

5

22.03.2006, 17:15

RE: Mittels iptables unbekannte MAC sperren

ein potentieller angreifer könnte natürlich auch seine mac "fälschen" und damit wieder zugang erlangen. es ist eben (nur) eine hürde mehr. nicht mehr und nicht weniger. er müsste eine gültige mac kennen oder erlauschen und könnte dann seine schnittstelle umstellen. sicherer als nur über ip zu steuern ist es allemal, der (config)aufwand ist natürlich erheblich höher.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

6

22.03.2006, 18:58

RE: Mittels iptables unbekannte MAC sperren

mal noch ein nachtrag.
ich lese dazu in der firewall automatisch die dhcpd.conf aus (läuft auf dem server ebenfalls :)), da dort sowieso alle mac's drinstehen (ausser wenn du pools verwendest). das ganze sieht dann so aus:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

IPTABLES=/usr/sbin/iptables
LOG_OPTION=" --log-level debug --log-prefix "
if [ -f /etc/dhcpd.conf ]; then
 $IPTABLES -N MACTEST
 for MAC in ` cat /etc/dhcpd.conf | grep "hardware ethernet" | awk '{ print $3 }' | tr ";" " "`
 do
  echo "MAC Zugang fuer $MAC freischalten"
  $IPTABLES -A MACTEST -m mac --mac-source $MAC -j ACCEPT
 done
 $IPTABLES -A MACTEST -j LOG $LOG_OPTION "DENY UNKNOWN MAC"
 $IPTABLES -A MACTEST -j DROP
 $IPTABLES -A INPUT -i eth0 -j MACTEST
 $IPTABLES -A INPUT -i eth1 -j MACTEST
 $IPTABLES -A INPUT -i eth2 -j MACTEST
fi

ich habe die ganze definition in eine eigene chain gepackt (lässt sich leichter händeln) und binde diese dann an die devices eth0, eth1 und eth2, da der server 3 nics hat..
durch das automatische einlesen der macs hält sich der administrative aufwand in genzen :)
alle pakete mit ungültiger mac werden gedropt und geloggt.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Peopls

Anfänger

  • »Peopls« ist männlich
  • »Peopls« ist der Autor dieses Themas

Beiträge: 20

  • Nachricht senden

7

03.04.2006, 09:21

Kann eigentlich zu gemacht werden, .... bin nun ganz gut am laufen mit IPTABLES ...

THX trotzdem für die Hinweise

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

8

04.04.2006, 12:15

Zitat

Original von Peopls
Kann eigentlich zu gemacht werden, .... bin nun ganz gut am laufen mit IPTABLES ...


:crazy: :crazy: :crazy: was will uns dieser satz sagen? :crazy: :crazy: :crazy:
1. was soll zu gemacht werden?
2. ja wo laufen sie denn, ja wo laufen sie denn hin???
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Peopls

Anfänger

  • »Peopls« ist männlich
  • »Peopls« ist der Autor dieses Themas

Beiträge: 20

  • Nachricht senden

9

04.04.2006, 14:07

Dieser Thread kann geschlossen werden, da ich mich jetzt recht gut in die iptables eingearbeitet habe... Hab leider eine Menge Zeit verlohren...
THX für die Unterstützung.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

10

04.04.2006, 14:27

wenn du dabei etwas gelernt hast, ist es auf keinen fall "verlorene zeit" :)
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Peopls

Anfänger

  • »Peopls« ist männlich
  • »Peopls« ist der Autor dieses Themas

Beiträge: 20

  • Nachricht senden

11

04.04.2006, 20:41

Ne, das stimmt... eher im Sinne "nur noch zwei Wochen" bis zum Ende ...
Uiuiui muss man da viel lesen .... ;-)
Thema bewerten