Всем привет.
Есть система с сетевухой fast ethernet
Есть skype dhcp
Есть правило в iptables:iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPTСуть проблемы.
Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в списке DHCPD и он таки получает свой адрес по дхсп - КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
Да и походу днс таки тоже просачивается ибо скайп-СКОТИНА тоже проходит регистрацию а потом благодаря супер возможности скайпа у абонента он пашетЗ.Ы.
Пока как вариант подумываю и про обратный фильтр на исходящие пакеты - но ищу варианты так как в сети 400 машин и дополнительно пускать в ту же цепочку пока нету желанияПодскажите ГДЕ почитать про уровни фаст езернета кто первый кто второй кто выше сидит - мне кажется там нада рыть
Чёт сумбур какой. Надо поточнее же всё описывать.Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? И ты хочешь, чтобы он этот адрес получить не мог? Сервер DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя прописать блокировку в конфиге DHCP-сервера?
На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. Собственно гугл выдаст по ней много всего - читай что хочешь.
> Чёт сумбур какой. Надо поточнее же всё описывать.
> Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP?
> И ты хочешь, чтобы он этот адрес получить не мог? Сервер
> DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя
> прописать блокировку в конфиге DHCP-сервера?
> На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI.
> Собственно гугл выдаст по ней много всего - читай что хочешь.Есть система RHEL6(без поддержки)
На ней крутится dhcpd, iptables, tc и пашет как маршрутизатор
Цель - управление доступом к шлюзу по МАС адресу( в идеале он и айпишник не должен выдавать)
в iptables прописано правило с цепочкой
iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPTНа практике получаем фигню с тем что клиент получает айпишник от dhcpd и рабочей частью UDP
Блокируются пинги и ТСР протокол - остальное не проверял - и этих глюков хватает
На первый взгляд всё правильно.
Первое, что приходит на ум - эти правила не в начале цепочки, и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
Можно посмотреть вывод: iptables -n -L
> На первый взгляд всё правильно.
> Первое, что приходит на ум - эти правила не в начале цепочки,
> и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
> Можно посмотреть вывод: iptables -n -Lможно
вам же будет достаточно цепочки INPUT? )))Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC su:pe:r_:m:ac:__ (кто понимает тот знает зачем тут это)
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
для близира часть цепочки пользователей
Chain mac-user (3 references)
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:60:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:69:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:44
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:64
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
>[оверквотинг удален]
> в iptables прописано правило с цепочкой
> iptables -A INPUT -i eth0 -j mac-user
> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
> и рабочей частью UDP
> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
> глюков хватает
>[оверквотинг удален]
>> в iptables прописано правило с цепочкой
>> iptables -A INPUT -i eth0 -j mac-user
>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>> и рабочей частью UDP
>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>> глюков хватаетА пакеты от сервера как идут, по каким цепочкам?
Надо бы посмотреть доку по iptables.
>[оверквотинг удален]
>>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>> и рабочей частью UDP
>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>> глюков хватает
> А пакеты от сервера как идут, по каким цепочкам?
> Надо бы посмотреть доку по iptables.таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера
>[оверквотинг удален]
>>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>>> и рабочей частью UDP
>>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>>> глюков хватает
>> А пакеты от сервера как идут, по каким цепочкам?
>> Надо бы посмотреть доку по iptables.
> таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервераChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain mac-user (3 references)
фильтра вообще нету при iptables -n -L
есть такое в конфе
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
>[оверквотинг удален]
> Chain OUTPUT (policy ACCEPT)
> target prot opt source
> destination
> Chain mac-user (3 references)
> фильтра вообще нету при iptables -n -L
> есть такое в конфе
> *filter
> :INPUT ACCEPT
> :FORWARD ACCEPT
> :OUTPUT ACCEPTв общем вот что вычитал тут http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES
походу в NAT он раньше смывается нежели я его хочу мучать - щас проверю на практике
т.е. добалю такое правило и в фильтр
Ну тут ладно щас проверю - это для проходящих пакетов и похоже на правду, но остаетвя вопрос - чо DHCP пролазит тут то уже точно пакет не проходящий а образается к серверу
З.Ы. Или пора мне в отпуск :-)
> т.е. добалю такое правило и в фильтр
> Ну тут ладно щас проверю - это для проходящих пакетов и похоже
> на правду, но остаетвя вопрос - чо DHCP пролазит тут то
> уже точно пакет не проходящий а образается к серверуна текущий момент стало так
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:11:22:33:44:55
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain FORWARD (policy ACCEPT)
target prot opt source destination
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain mac-user (6 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
>[оверквотинг удален]
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00ТАКой вариант заработал!!!!!!
DHCP пока не проверил - но на маршрутизатор уже не пускает
машина, зеленый, небо, груша.
Ну а теперь к делу. Сформулируй вопрос, что нужно:
-что бы машинам дхцп не раздавал адреса?
-что бы машинам раздавались адреса, но не было интенета
-блокировать определенные машины по мак-у?
-не давать всей братии юзать скайп?
и т.д и т.п.
вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и укажем куда нужно копать, а так извини, но ничего не понятно
> машина, зеленый, небо, груша.
> Ну а теперь к делу. Сформулируй вопрос, что нужно:
> -что бы машинам дхцп не раздавал адреса?
> -что бы машинам раздавались адреса, но не было интенета
> -блокировать определенные машины по мак-у?
> -не давать всей братии юзать скайп?
> и т.д и т.п.
> вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и
> укажем куда нужно копать, а так извини, но ничего не понятноДа блокировать машину по МАС
default policy выставить дроп не пробывали?
> default policy выставить дроп не пробывали?как бы не желательно - есть свичи L2 которые могут из-за погодных условий часто меняться :-) и они в бегают по своему вилану
>> default policy выставить дроп не пробывали?
> как бы не желательно - есть свичи L2 которые могут из-за погодных
> условий часто меняться :-) и они в бегают по своему виланухм... последним правилом поставить условие дропать все маки... правда я не представляю как оно будет...
или как вариант добавлять правила по типу
iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROPи тогда он будет дрова все маки за исключением заданых, минус в том что при многих девайсах цепочка будет большая+ много ручной работы
>>> default policy выставить дроп не пробывали?
>> как бы не желательно - есть свичи L2 которые могут из-за погодных
>> условий часто меняться :-) и они в бегают по своему вилану
> хм... последним правилом поставить условие дропать все маки... правда я не
> представляю как оно будет...
> или как вариант добавлять правила по типу
> iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
> iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP
> и тогда он будет дрова все маки за исключением заданых, минус в
> том что при многих девайсах цепочка будет большая+ много ручной работыможно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя
ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))
можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено.
нагрузка то да будет немаленькая на машинку.может стоит тогда рассмотреть другие варианты кроме мака?
> можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное
> что бы icmp было разрешено.
> нагрузка то да будет немаленькая на машинку.
> может стоит тогда рассмотреть другие варианты кроме мака?другие варианты - не варианты. Заказщик захотел именно МАС
добавил теже правила в форвард и заработало - все пока не проверял )))
> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
> списке DHCPD и он таки получает свой адрес по дхсп -
> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают.
Для L2 кури ebtables.
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?
>> теория проста - iptables - это IP (L3) с небольшими расширениями в
>> сторону L2. а запросы и ответы dhcp идут на L2 которые
>> в iptables не попадают.
>> Для L2 кури ebtables.
> Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?точно, спи...ул, udp 67/68. значит с чем то спутал...
>> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
>> списке DHCPD и он таки получает свой адрес по дхсп -
>> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.вот вот такого ответа я искал - спасибо мил человек
зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так