Всем привет.
Есть система с сетевухой fast ethernet
Есть skype dhcp
Есть правило в iptables:

iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

Суть проблемы.
Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в списке DHCPD и он таки получает свой адрес по дхсп - КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
Да и походу днс таки тоже просачивается ибо скайп-СКОТИНА тоже проходит регистрацию а потом благодаря супер возможности скайпа  у абонента он пашет

З.Ы.
Пока как вариант подумываю и про обратный фильтр на исходящие пакеты - но ищу варианты так как в сети 400 машин и дополнительно пускать в ту же цепочку пока нету желания

Подскажите ГДЕ почитать про уровни фаст езернета кто первый кто второй кто выше сидит - мне кажется там нада рыть

• fast ethernet skype iptables dhcp,mr_noname, 04:15 , 12-Авг-13
  • fast ethernet skype iptables dhcp,serdyksn, 11:39 , 12-Авг-13
    • fast ethernet skype iptables dhcp,mr_noname, 12:54 , 12-Авг-13
      • fast ethernet skype iptables dhcp,serdyksn, 15:30 , 12-Авг-13
    • fast ethernet skype iptables dhcp,GolDi, 16:01 , 12-Авг-13
      • fast ethernet skype iptables dhcp,GolDi, 16:02 , 12-Авг-13
        • fast ethernet skype iptables dhcp,GolDi, 16:23 , 12-Авг-13
          • fast ethernet skype iptables dhcp,serdyksn, 20:12 , 12-Авг-13
            • fast ethernet skype iptables dhcp,serdyksn, 20:24 , 12-Авг-13
              • fast ethernet skype iptables dhcp,serdyksn, 20:55 , 12-Авг-13
                • fast ethernet skype iptables dhcp,serdyksn, 21:26 , 12-Авг-13
• fast ethernet skype iptables dhcp,КуКу, 10:38 , 12-Авг-13
  • fast ethernet skype iptables dhcp,serdyksn, 11:43 , 12-Авг-13
    • fast ethernet skype iptables dhcp,КуКу, 19:54 , 12-Авг-13
      • fast ethernet skype iptables dhcp,serdyksn, 20:08 , 12-Авг-13
        • fast ethernet skype iptables dhcp,КуКу, 20:53 , 12-Авг-13
          • fast ethernet skype iptables dhcp,serdyksn, 20:59 , 12-Авг-13
            • fast ethernet skype iptables dhcp,КуКу, 21:11 , 12-Авг-13
              • fast ethernet skype iptables dhcp,serdyksn, 21:28 , 12-Авг-13
• fast ethernet skype iptables dhcp,1, 23:18 , 12-Авг-13
  • fast ethernet skype iptables dhcp,gg, 16:54 , 13-Авг-13
    • fast ethernet skype iptables dhcp,1, 22:39 , 13-Авг-13
  • fast ethernet skype iptables dhcp,serdyksn, 19:31 , 13-Авг-13

Чёт сумбур какой. Надо поточнее же всё описывать.

Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? И ты хочешь, чтобы он этот адрес получить не мог? Сервер DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя прописать блокировку в конфиге DHCP-сервера?

На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. Собственно гугл выдаст по ней много всего - читай что хочешь.

> Чёт сумбур какой. Надо поточнее же всё описывать.
> Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP?
> И ты хочешь, чтобы он этот адрес получить не мог? Сервер
> DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя
> прописать блокировку в конфиге DHCP-сервера?
> На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI.
> Собственно гугл выдаст по ней много всего - читай что хочешь.

Есть система RHEL6(без поддержки)
На ней крутится dhcpd, iptables, tc и пашет как маршрутизатор
Цель - управление доступом к шлюзу по МАС адресу( в идеале он и айпишник не должен выдавать)
в iptables прописано правило с цепочкой
iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT

На практике получаем фигню с тем что клиент получает айпишник от dhcpd и рабочей частью UDP
Блокируются пинги и ТСР протокол - остальное не проверял - и этих глюков хватает

На первый взгляд всё правильно.
Первое, что приходит на ум - эти правила не в начале цепочки, и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
Можно посмотреть вывод: iptables -n -L

> На первый взгляд всё правильно.
> Первое, что приходит на ум - эти правила не в начале цепочки,
> и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
> Можно посмотреть вывод: iptables -n -L

можно
вам же будет достаточно цепочки INPUT? )))

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC su:pe:r_:m:ac:__ (кто понимает тот знает зачем тут это)
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
для близира часть цепочки пользователей
Chain mac-user (3 references)
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:60:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:69:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:44
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:64
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00

>[оверквотинг удален]
> в iptables прописано правило с цепочкой
> iptables -A INPUT -i eth0 -j mac-user
> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
> и рабочей частью UDP
> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
> глюков хватает

>[оверквотинг удален]
>> в iptables прописано правило с цепочкой
>> iptables -A INPUT -i eth0 -j mac-user
>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>> и рабочей частью UDP
>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>> глюков хватает

А пакеты от сервера как идут, по каким цепочкам?
Надо бы посмотреть доку по iptables.

>[оверквотинг удален]
>>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>> и рабочей частью UDP
>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>> глюков хватает
> А пакеты от сервера как идут, по каким цепочкам?
> Надо бы посмотреть доку по iptables.

таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера

>[оверквотинг удален]
>>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>>> и рабочей частью UDP
>>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>>> глюков хватает
>> А пакеты от сервера как идут, по каким цепочкам?
>> Надо бы посмотреть доку по iptables.
>  таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain mac-user (3 references)
фильтра вообще нету при iptables -n -L
есть такое в конфе
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT

>[оверквотинг удален]
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source    
>           destination
> Chain mac-user (3 references)
> фильтра вообще нету при iptables -n -L
> есть такое в конфе
> *filter
> :INPUT ACCEPT
> :FORWARD ACCEPT
> :OUTPUT ACCEPT

в общем вот что вычитал тут http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES
походу в NAT он раньше смывается нежели я его хочу мучать - щас проверю на практике
т.е. добалю такое правило и в фильтр
Ну тут ладно щас проверю - это для проходящих пакетов и похоже на правду, но остаетвя вопрос - чо DHCP пролазит тут то уже точно пакет не проходящий а образается к серверу
З.Ы. Или пора мне в отпуск :-)

> т.е. добалю такое правило и в фильтр
> Ну тут ладно щас проверю - это для проходящих пакетов и похоже
> на правду, но остаетвя вопрос - чо DHCP пролазит тут то
> уже точно пакет не проходящий а образается к серверу

на текущий момент стало так
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:11:22:33:44:55
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain mac-user (6 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00

>[оверквотинг удален]
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00

ТАКой вариант заработал!!!!!!
DHCP пока не проверил - но на маршрутизатор уже не пускает

машина, зеленый, небо, груша.

Ну а теперь к делу. Сформулируй вопрос, что нужно:
-что бы машинам дхцп не раздавал адреса?
-что бы машинам раздавались адреса, но не было интенета
-блокировать определенные  машины по мак-у?
-не давать всей братии юзать скайп?
и т.д и т.п.

вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и укажем куда нужно копать, а так извини, но ничего не понятно

> машина, зеленый, небо, груша.
> Ну а теперь к делу. Сформулируй вопрос, что нужно:
> -что бы машинам дхцп не раздавал адреса?
> -что бы машинам раздавались адреса, но не было интенета
> -блокировать определенные  машины по мак-у?
> -не давать всей братии юзать скайп?
> и т.д и т.п.
> вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и
> укажем куда нужно копать, а так извини, но ничего не понятно

Да блокировать машину по МАС

default policy выставить дроп не пробывали?

> default policy выставить дроп не пробывали?

как бы не желательно - есть свичи L2 которые могут из-за погодных условий часто меняться :-) и они в бегают по своему вилану

>> default policy выставить дроп не пробывали?
> как бы не желательно - есть свичи L2 которые могут из-за погодных
> условий часто меняться :-) и они в бегают по своему вилану

хм... последним правилом поставить условие дропать все маки...  правда я не представляю как оно будет...

или как вариант добавлять правила по типу

iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP

и тогда он будет дрова все маки за исключением заданых, минус в том что при многих девайсах цепочка будет большая+ много ручной работы

>>> default policy выставить дроп не пробывали?
>> как бы не желательно - есть свичи L2 которые могут из-за погодных
>> условий часто меняться :-) и они в бегают по своему вилану
> хм... последним правилом поставить условие дропать все маки...  правда я не
> представляю как оно будет...
> или как вариант добавлять правила по типу
> iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
> iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP
> и тогда он будет дрова все маки за исключением заданых, минус в
> том что при многих девайсах цепочка будет большая+ много ручной работы

можно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя

ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))

можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено.
нагрузка то да будет немаленькая на машинку.

может стоит тогда рассмотреть другие варианты кроме мака?

> можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное
> что бы icmp было разрешено.
> нагрузка то да будет немаленькая на машинку.
> может стоит тогда рассмотреть другие варианты кроме мака?

другие варианты - не варианты. Заказщик захотел именно МАС
добавил теже правила в форвард и заработало - все пока не проверял )))

> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
> списке DHCPD и он таки получает свой адрес по дхсп -
> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).

теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают.
Для L2 кури ebtables.

> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.

Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?

>> теория проста - iptables - это IP (L3) с небольшими расширениями в
>> сторону L2. а запросы и ответы dhcp идут на L2 которые
>> в iptables не попадают.
>> Для L2 кури ebtables.
> Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?

точно, спи...ул, udp 67/68. значит с чем то спутал...

>> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
>> списке DHCPD и он таки получает свой адрес по дхсп -
>> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.

вот вот такого ответа я искал - спасибо мил человек
зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так