Я установил RH 7.3 с iptables, и всё заработало, только не получается фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01, то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту проблему...

• RE: Помогите с Iptables....,killall, 09:23 , 09-Сен-02
  • RE: Помогите с Iptables....,Criz, 09:53 , 09-Сен-02
    • RE: Помогите с Iptables....,killall, 10:32 , 09-Сен-02
      • RE: Помогите с Iptables....,Criz, 14:25 , 09-Сен-02
        • RE: Помогите с Iptables....,Criz, 15:12 , 09-Сен-02
          • RE: Помогите с Iptables....,LS, 16:23 , 09-Сен-02
            • RE: Помогите с Iptables....,Criz, 16:43 , 09-Сен-02
              • RE: Помогите с Iptables....,LS, 17:31 , 09-Сен-02
• RE: Помогите с Iptables....,ovix, 19:37 , 09-Сен-02
  • RE: Помогите с Iptables....,Criz, 08:30 , 10-Сен-02
    • RE: Помогите с Iptables....,Criz, 09:53 , 10-Сен-02

>Я установил RH 7.3 с iptables, и всё заработало, только не получается
>фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01,
>то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту
>проблему...

А модуль mac подгружен?
man iptables на предмет опции -m

>А модуль mac подгружен?
>man iptables на предмет опции -m

К сожалению я не нашёл в мане ничего про опцию -m, если можно, расскажи поподробнее про то как можно подгрузить модуль.

>К сожалению я не нашёл в мане ничего про опцию -m, если
>можно, расскажи поподробнее про то как можно подгрузить модуль.

Наверно плохо искал, либо ман древний.
Лично я дополнительными модулями не пользовался, необходимости не было. Но по всем правилам для подгрузки дополнительного модуля используют опцию -m:
Твой пример должен выглядеть примерно так:
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP

Спасибо большое, заработало...
Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)

>Спасибо большое, заработало...
>Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)

И вот вопрос:)
Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line 2 seems to have a -t table option.
Я так понимаю что опять не загружен какой-то модуль, или я не прав?
И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле.

>>Спасибо большое, заработало...
>>Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)
>
>
>И вот вопрос:)
>Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A
>POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line
>2 seems to have a -t table option.
>Я так понимаю что опять не загружен какой-то модуль, или я не
>прав?
>И ещё по поводу модулей: можно их загрузить раз и навсегда, а
>не подгружать в каждом правиле.

Все очень хорошо в мане описано:

...
TABLES
       There are current three independent tables  (which  tables
       are  present  at any time depends on the kernel configura-
       tion options and which modules are present).

       -t, --table
              This option specifies  the  packet  matching  table
              which the command should operate on.  If the kernel
              is configured with  automatic  module  loading,  an
              attempt will be made to load the appropriate module
              for that table if it is not already there.

              The tables are as follows:

       filter This is the default table.  It contains the  built-
              in  chains  INPUT  (for packets coming into the box
              itself), FORWARD (for packets being routed  through
              the  box),  and OUTPUT (for locally-generated pack-
              ets).

       nat    This table is consulted when a packet that  creates
              a  new  connection  is encountered.  It consists of
              three built-ins: PREROUTING (for  altering  packets
              as  soon  as  they  come  in), OUTPUT (for altering
              locally-generated  packets  before  routing),   and
              POSTROUTING (for altering packets as they are about
              to go out).

       mangle This table is used for  specialized  packet  alter-
              ation.  It has two built-in chains: PREROUTING (for
              altering incoming packets before routing) and  OUT-
              PUT  (for altering locally-generated packets before
              routing).

...

Это я уже читал, как я понял всё дела как раз в модуле, подскажите пжалуйста какой....

>Это я уже читал, как я понял всё дела как раз в
>модуле, подскажите пжалуйста какой....

Я сам ipchains использую, поэтому точный ответ дать тебе немогу. Но маны по  iptables (я их только сегодня в первый раз посмотрел) написаны довольно хорошо - попробуй почитать повнимательней. На сколько я понял, если в правиле указать протокол (-p, --protocol), то необходимые модули будут загружены автоматически (без их явного указания с помощью -m). Можешь посмотреть в /lib/iptables - там лежат все эти модули. Дополнительный хелп по модулю можно получить дав команду iptables -m имя_модуля_без_libipt -h.

Удачи!

>Я установил RH 7.3 с iptables, и всё заработало, только не получается
>фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01,
>то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту
>проблему...

Для этого в ядре установи опцию:
CONFIG_IP_NF_MATCH_MAC
для подгрузки (можещь ее сразу как опицей ядра cделать, чтоб потом как модуль отдельно не подгружать),
а потом делай то, как тебе здесь и советовали, например
iptables -A INPUT -p tcp -s 192.168.1.0/24 -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT
т.е. с таким MAC-адресом из сети 192.168.1.0/24 можно войти на машину c iptables.

>И вот вопрос:)
>Для преобразования адресов я выбрал SNAT, записал правило:
,,,,,,,
>Я так понимаю что опять не загружен какой-то модуль, или я не прав?

Неправ. Зачем тебе SNAT, если ты просто маскируешь адреса?
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.0/24 -d any/0 -j MASQUERADE
вот так ты и замаскарадишь свою подсеть 192.168.1.0/24

>И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле.

Да, можно: в настройках ядра для этих модулей говоришь YES (а не module), и они становятся частью ядра.

Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных адресах, а он менее загружает систему.
И ещё.. Когда я в командной строке набираю это правило, то всё работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line 2 seems to have a -t table option. Где грабли?

>Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных
>адресах, а он менее загружает систему.
>И ещё.. Когда я в командной строке набираю это правило, то всё
>работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того
>чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line
>2 seems to have a -t table option. Где грабли?

Всё, этот вопрос я решил, но вот ещё грабли появились. Вот мои правила, которые загружаются автоматически:
#!/bin/sh

*nat
:PREROUTING ACCEPT [1061:56047]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -j SNAT --to-source (реальный ИП)
COMMIT

*filter
:INPUT DROP [110:13749]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20:1592]
-A INPUT -p TCP -m state --state RELATED -j ACCEPT
-A INPUT -s 192.168.12.52 -j ACCEPT
-A INPUT -m mac --mac 00:00:21:2A:A0:5F -j ACCEPT
COMMIT

А вот и вопросик: если есть предложения по улучшению, с удовольствием выслушаю...
И ещё: у меня появились проблемы с подключением к FTP, подскажите решение...