- fast ethernet skype iptables dhcp, mr_noname, 04:15 , 12-Авг-13 (1)
Чёт сумбур какой. Надо поточнее же всё описывать.Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? И ты хочешь, чтобы он этот адрес получить не мог? Сервер DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя прописать блокировку в конфиге DHCP-сервера? На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. Собственно гугл выдаст по ней много всего - читай что хочешь.
- fast ethernet skype iptables dhcp, serdyksn, 11:39 , 12-Авг-13 (3)
> Чёт сумбур какой. Надо поточнее же всё описывать. > Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? > И ты хочешь, чтобы он этот адрес получить не мог? Сервер > DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя > прописать блокировку в конфиге DHCP-сервера? > На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. > Собственно гугл выдаст по ней много всего - читай что хочешь. Есть система RHEL6(без поддержки) На ней крутится dhcpd, iptables, tc и пашет как маршрутизатор Цель - управление доступом к шлюзу по МАС адресу( в идеале он и айпишник не должен выдавать) в iptables прописано правило с цепочкой iptables -A INPUT -i eth0 -j mac-user iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT На практике получаем фигню с тем что клиент получает айпишник от dhcpd и рабочей частью UDP Блокируются пинги и ТСР протокол - остальное не проверял - и этих глюков хватает
- fast ethernet skype iptables dhcp, mr_noname, 12:54 , 12-Авг-13 (5)
На первый взгляд всё правильно. Первое, что приходит на ум - эти правила не в начале цепочки, и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале. Можно посмотреть вывод: iptables -n -L
- fast ethernet skype iptables dhcp, serdyksn, 15:30 , 12-Авг-13 (6)
> На первый взгляд всё правильно. > Первое, что приходит на ум - эти правила не в начале цепочки, > и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале. > Можно посмотреть вывод: iptables -n -L можно вам же будет достаточно цепочки INPUT? ))) Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC su:pe:r_:m:ac:__ (кто понимает тот знает зачем тут это) mac-user all -- 0.0.0.0/0 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable для близира часть цепочки пользователей Chain mac-user (3 references) ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:60:77:99:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:69:77:99:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:44 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:64 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
- fast ethernet skype iptables dhcp, GolDi, 16:01 , 12-Авг-13 (7)
>[оверквотинг удален] > в iptables прописано правило с цепочкой > iptables -A INPUT -i eth0 -j mac-user > iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable > iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT > iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT > iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT > На практике получаем фигню с тем что клиент получает айпишник от dhcpd > и рабочей частью UDP > Блокируются пинги и ТСР протокол - остальное не проверял - и этих > глюков хватает
- fast ethernet skype iptables dhcp, GolDi, 16:02 , 12-Авг-13 (8)
>[оверквотинг удален] >> в iptables прописано правило с цепочкой >> iptables -A INPUT -i eth0 -j mac-user >> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable >> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT >> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT >> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT >> На практике получаем фигню с тем что клиент получает айпишник от dhcpd >> и рабочей частью UDP >> Блокируются пинги и ТСР протокол - остальное не проверял - и этих >> глюков хватает А пакеты от сервера как идут, по каким цепочкам? Надо бы посмотреть доку по iptables.
- fast ethernet skype iptables dhcp, GolDi, 16:23 , 12-Авг-13 (9)
>[оверквотинг удален] >>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable >>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT >>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT >>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT >>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd >>> и рабочей частью UDP >>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих >>> глюков хватает > А пакеты от сервера как идут, по каким цепочкам? > Надо бы посмотреть доку по iptables. таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера
- fast ethernet skype iptables dhcp, serdyksn, 20:12 , 12-Авг-13 (12)
>[оверквотинг удален] >>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT >>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT >>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT >>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd >>>> и рабочей частью UDP >>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих >>>> глюков хватает >> А пакеты от сервера как идут, по каким цепочкам? >> Надо бы посмотреть доку по iptables. > таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain mac-user (3 references) фильтра вообще нету при iptables -n -L есть такое в конфе *filter :INPUT ACCEPT :FORWARD ACCEPT :OUTPUT ACCEPT
- fast ethernet skype iptables dhcp, serdyksn, 20:24 , 12-Авг-13 (13)
>[оверквотинг удален] > Chain OUTPUT (policy ACCEPT) > target prot opt source > destination > Chain mac-user (3 references) > фильтра вообще нету при iptables -n -L > есть такое в конфе > *filter > :INPUT ACCEPT > :FORWARD ACCEPT > :OUTPUT ACCEPT в общем вот что вычитал тут http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES походу в NAT он раньше смывается нежели я его хочу мучать - щас проверю на практике т.е. добалю такое правило и в фильтр Ну тут ладно щас проверю - это для проходящих пакетов и похоже на правду, но остаетвя вопрос - чо DHCP пролазит тут то уже точно пакет не проходящий а образается к серверу З.Ы. Или пора мне в отпуск :-)
- fast ethernet skype iptables dhcp, serdyksn, 20:55 , 12-Авг-13 (15)
> т.е. добалю такое правило и в фильтр > Ну тут ладно щас проверю - это для проходящих пакетов и похоже > на правду, но остаетвя вопрос - чо DHCP пролазит тут то > уже точно пакет не проходящий а образается к серверу на текущий момент стало так Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:11:22:33:44:55 mac-user all -- 0.0.0.0/0 0.0.0.0/0 mac-user all -- 0.0.0.0/0 0.0.0.0/0 mac-user all -- 0.0.0.0/0 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination mac-user all -- 0.0.0.0/0 0.0.0.0/0 mac-user all -- 0.0.0.0/0 0.0.0.0/0 mac-user all -- 0.0.0.0/0 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain mac-user (6 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
- fast ethernet skype iptables dhcp, serdyksn, 21:26 , 12-Авг-13 (18)
>[оверквотинг удален] > MAC 22:33:66:88:88:00 > ACCEPT all -- 0.0.0.0/0 > 0.0.0.0/0 > MAC 22:33:66:88:88:00 > ACCEPT all -- 0.0.0.0/0 > 0.0.0.0/0 > MAC 22:33:66:88:88:00 > ACCEPT all -- 0.0.0.0/0 > 0.0.0.0/0 > MAC 22:33:66:88:88:00 ТАКой вариант заработал!!!!!! DHCP пока не проверил - но на маршрутизатор уже не пускает
- fast ethernet skype iptables dhcp, КуКу, 10:38 , 12-Авг-13 (2) +1
машина, зеленый, небо, груша. Ну а теперь к делу. Сформулируй вопрос, что нужно: -что бы машинам дхцп не раздавал адреса? -что бы машинам раздавались адреса, но не было интенета -блокировать определенные машины по мак-у? -не давать всей братии юзать скайп? и т.д и т.п.
вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и укажем куда нужно копать, а так извини, но ничего не понятно
- fast ethernet skype iptables dhcp, serdyksn, 11:43 , 12-Авг-13 (4)
> машина, зеленый, небо, груша. > Ну а теперь к делу. Сформулируй вопрос, что нужно: > -что бы машинам дхцп не раздавал адреса? > -что бы машинам раздавались адреса, но не было интенета > -блокировать определенные машины по мак-у? > -не давать всей братии юзать скайп? > и т.д и т.п. > вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и > укажем куда нужно копать, а так извини, но ничего не понятно Да блокировать машину по МАС
- fast ethernet skype iptables dhcp, КуКу, 19:54 , 12-Авг-13 (10)
default policy выставить дроп не пробывали?
- fast ethernet skype iptables dhcp, serdyksn, 20:08 , 12-Авг-13 (11)
> default policy выставить дроп не пробывали?как бы не желательно - есть свичи L2 которые могут из-за погодных условий часто меняться :-) и они в бегают по своему вилану
- fast ethernet skype iptables dhcp, КуКу, 20:53 , 12-Авг-13 (14)
>> default policy выставить дроп не пробывали? > как бы не желательно - есть свичи L2 которые могут из-за погодных > условий часто меняться :-) и они в бегают по своему вилану хм... последним правилом поставить условие дропать все маки... правда я не представляю как оно будет... или как вариант добавлять правила по типу iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP и тогда он будет дрова все маки за исключением заданых, минус в том что при многих девайсах цепочка будет большая+ много ручной работы
- fast ethernet skype iptables dhcp, serdyksn, 20:59 , 12-Авг-13 (16)
>>> default policy выставить дроп не пробывали? >> как бы не желательно - есть свичи L2 которые могут из-за погодных >> условий часто меняться :-) и они в бегают по своему вилану > хм... последним правилом поставить условие дропать все маки... правда я не > представляю как оно будет... > или как вариант добавлять правила по типу > iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP > iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP > и тогда он будет дрова все маки за исключением заданых, минус в > том что при многих девайсах цепочка будет большая+ много ручной работы можно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))
- fast ethernet skype iptables dhcp, КуКу, 21:11 , 12-Авг-13 (17)
можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено. нагрузка то да будет немаленькая на машинку.может стоит тогда рассмотреть другие варианты кроме мака?
- fast ethernet skype iptables dhcp, serdyksn, 21:28 , 12-Авг-13 (19)
> можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное > что бы icmp было разрешено. > нагрузка то да будет немаленькая на машинку. > может стоит тогда рассмотреть другие варианты кроме мака?другие варианты - не варианты. Заказщик захотел именно МАС добавил теже правила в форвард и заработало - все пока не проверял )))
- fast ethernet skype iptables dhcp, 1, 23:18 , 12-Авг-13 (20)
> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в > списке DHCPD и он таки получает свой адрес по дхсп - > КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают. Для L2 кури ebtables.
- fast ethernet skype iptables dhcp, gg, 16:54 , 13-Авг-13 (21)
> теория проста - iptables - это IP (L3) с небольшими расширениями в > сторону L2. а запросы и ответы dhcp идут на L2 которые > в iptables не попадают. > Для L2 кури ebtables.Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?
- fast ethernet skype iptables dhcp, 1, 22:39 , 13-Авг-13 (23)
>> теория проста - iptables - это IP (L3) с небольшими расширениями в >> сторону L2. а запросы и ответы dhcp идут на L2 которые >> в iptables не попадают. >> Для L2 кури ebtables. > Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь? точно, спи...ул, udp 67/68. значит с чем то спутал...
- fast ethernet skype iptables dhcp, serdyksn, 19:31 , 13-Авг-13 (22)
>> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в >> списке DHCPD и он таки получает свой адрес по дхсп - >> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться). > теория проста - iptables - это IP (L3) с небольшими расширениями в > сторону L2. а запросы и ответы dhcp идут на L2 которые > в iptables не попадают. > Для L2 кури ebtables.вот вот такого ответа я искал - спасибо мил человек зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так
|