- fast ethernet skype iptables dhcp,
 mr_noname, 04:15 , 12-Авг-13 (1)Чёт сумбур какой. Надо поточнее же всё описывать.Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? И ты хочешь, чтобы он этот адрес получить не мог? Сервер DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя прописать блокировку в конфиге DHCP-сервера? На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. Собственно гугл выдаст по ней много всего - читай что хочешь.
- fast ethernet skype iptables dhcp, serdyksn, 11:39 , 12-Авг-13 (3)
> Чёт сумбур какой. Надо поточнее же всё описывать.
> Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP?
> И ты хочешь, чтобы он этот адрес получить не мог? Сервер
> DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя
> прописать блокировку в конфиге DHCP-сервера?
> На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI.
> Собственно гугл выдаст по ней много всего - читай что хочешь. Есть система RHEL6(без поддержки)
На ней крутится dhcpd, iptables, tc и пашет как маршрутизатор
Цель - управление доступом к шлюзу по МАС адресу( в идеале он и айпишник не должен выдавать)
в iptables прописано правило с цепочкой
iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT На практике получаем фигню с тем что клиент получает айпишник от dhcpd и рабочей частью UDP
Блокируются пинги и ТСР протокол - остальное не проверял - и этих глюков хватает
- fast ethernet skype iptables dhcp, mr_noname, 12:54 , 12-Авг-13 (5)
На первый взгляд всё правильно.
Первое, что приходит на ум - эти правила не в начале цепочки, и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
Можно посмотреть вывод: iptables -n -L
- fast ethernet skype iptables dhcp, serdyksn, 15:30 , 12-Авг-13 (6)
> На первый взгляд всё правильно.
> Первое, что приходит на ум - эти правила не в начале цепочки,
> и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
> Можно посмотреть вывод: iptables -n -L можно
вам же будет достаточно цепочки INPUT? ))) Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC su:pe:r_:m:ac:__ (кто понимает тот знает зачем тут это)
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
для близира часть цепочки пользователей
Chain mac-user (3 references)
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:60:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:69:77:99:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:44
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:64
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:44:66:77:99:00
- fast ethernet skype iptables dhcp, GolDi, 16:01 , 12-Авг-13 (7)
>[оверквотинг удален]
> в iptables прописано правило с цепочкой
> iptables -A INPUT -i eth0 -j mac-user
> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
> и рабочей частью UDP
> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
> глюков хватает
- fast ethernet skype iptables dhcp, GolDi, 16:02 , 12-Авг-13 (8)
>[оверквотинг удален]
>> в iptables прописано правило с цепочкой
>> iptables -A INPUT -i eth0 -j mac-user
>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>> и рабочей частью UDP
>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>> глюков хватает А пакеты от сервера как идут, по каким цепочкам?
Надо бы посмотреть доку по iptables.
- fast ethernet skype iptables dhcp, GolDi, 16:23 , 12-Авг-13 (9)
>[оверквотинг удален]
>>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>> и рабочей частью UDP
>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>> глюков хватает
> А пакеты от сервера как идут, по каким цепочкам?
> Надо бы посмотреть доку по iptables. таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера
- fast ethernet skype iptables dhcp, serdyksn, 20:12 , 12-Авг-13 (12)
>[оверквотинг удален]
>>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>>> и рабочей частью UDP
>>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>>> глюков хватает
>> А пакеты от сервера как идут, по каким цепочкам?
>> Надо бы посмотреть доку по iptables.
> таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination Chain mac-user (3 references)
фильтра вообще нету при iptables -n -L
есть такое в конфе
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
- fast ethernet skype iptables dhcp, serdyksn, 20:24 , 12-Авг-13 (13)
>[оверквотинг удален]
> Chain OUTPUT (policy ACCEPT)
> target prot opt source
> destination
> Chain mac-user (3 references)
> фильтра вообще нету при iptables -n -L
> есть такое в конфе
> *filter
> :INPUT ACCEPT
> :FORWARD ACCEPT
> :OUTPUT ACCEPT в общем вот что вычитал тут http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES
походу в NAT он раньше смывается нежели я его хочу мучать - щас проверю на практике
т.е. добалю такое правило и в фильтр
Ну тут ладно щас проверю - это для проходящих пакетов и похоже на правду, но остаетвя вопрос - чо DHCP пролазит тут то уже точно пакет не проходящий а образается к серверу
З.Ы. Или пора мне в отпуск :-)
- fast ethernet skype iptables dhcp, serdyksn, 20:55 , 12-Авг-13 (15)
> т.е. добалю такое правило и в фильтр
> Ну тут ладно щас проверю - это для проходящих пакетов и похоже
> на правду, но остаетвя вопрос - чо DHCP пролазит тут то
> уже точно пакет не проходящий а образается к серверу на текущий момент стало так
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:11:22:33:44:55
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT)
target prot opt source destination
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
mac-user all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT)
target prot opt source destination Chain mac-user (6 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:33:66:88:88:00
- fast ethernet skype iptables dhcp, serdyksn, 21:26 , 12-Авг-13 (18)
>[оверквотинг удален]
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00
> ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> MAC 22:33:66:88:88:00 ТАКой вариант заработал!!!!!!
DHCP пока не проверил - но на маршрутизатор уже не пускает
- fast ethernet skype iptables dhcp, КуКу, 10:38 , 12-Авг-13 (2) +1
машина, зеленый, небо, груша.
Ну а теперь к делу. Сформулируй вопрос, что нужно:
-что бы машинам дхцп не раздавал адреса?
-что бы машинам раздавались адреса, но не было интенета
-блокировать определенные машины по мак-у?
-не давать всей братии юзать скайп?
и т.д и т.п.
вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и укажем куда нужно копать, а так извини, но ничего не понятно
- fast ethernet skype iptables dhcp, serdyksn, 11:43 , 12-Авг-13 (4)
> машина, зеленый, небо, груша.
> Ну а теперь к делу. Сформулируй вопрос, что нужно:
> -что бы машинам дхцп не раздавал адреса?
> -что бы машинам раздавались адреса, но не было интенета
> -блокировать определенные машины по мак-у?
> -не давать всей братии юзать скайп?
> и т.д и т.п.
> вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и
> укажем куда нужно копать, а так извини, но ничего не понятно Да блокировать машину по МАС
- fast ethernet skype iptables dhcp, КуКу, 19:54 , 12-Авг-13 (10)
default policy выставить дроп не пробывали?
- fast ethernet skype iptables dhcp, serdyksn, 20:08 , 12-Авг-13 (11)
> default policy выставить дроп не пробывали?как бы не желательно - есть свичи L2 которые могут из-за погодных условий часто меняться :-) и они в бегают по своему вилану
- fast ethernet skype iptables dhcp, КуКу, 20:53 , 12-Авг-13 (14)
>> default policy выставить дроп не пробывали?
> как бы не желательно - есть свичи L2 которые могут из-за погодных
> условий часто меняться :-) и они в бегают по своему вилану хм... последним правилом поставить условие дропать все маки... правда я не представляю как оно будет... или как вариант добавлять правила по типу iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP и тогда он будет дрова все маки за исключением заданых, минус в том что при многих девайсах цепочка будет большая+ много ручной работы
- fast ethernet skype iptables dhcp, serdyksn, 20:59 , 12-Авг-13 (16)
>>> default policy выставить дроп не пробывали?
>> как бы не желательно - есть свичи L2 которые могут из-за погодных
>> условий часто меняться :-) и они в бегают по своему вилану
> хм... последним правилом поставить условие дропать все маки... правда я не
> представляю как оно будет...
> или как вариант добавлять правила по типу
> iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
> iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP
> и тогда он будет дрова все маки за исключением заданых, минус в
> том что при многих девайсах цепочка будет большая+ много ручной работы можно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))
- fast ethernet skype iptables dhcp, КуКу, 21:11 , 12-Авг-13 (17)
можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено.
нагрузка то да будет немаленькая на машинку.может стоит тогда рассмотреть другие варианты кроме мака?
- fast ethernet skype iptables dhcp, serdyksn, 21:28 , 12-Авг-13 (19)
> можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное
> что бы icmp было разрешено.
> нагрузка то да будет немаленькая на машинку.
> может стоит тогда рассмотреть другие варианты кроме мака?другие варианты - не варианты. Заказщик захотел именно МАС
добавил теже правила в форвард и заработало - все пока не проверял )))
- fast ethernet skype iptables dhcp, 1, 23:18 , 12-Авг-13 (20)
> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
> списке DHCPD и он таки получает свой адрес по дхсп -
> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают.
Для L2 кури ebtables.
- fast ethernet skype iptables dhcp, gg, 16:54 , 13-Авг-13 (21)
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?
- fast ethernet skype iptables dhcp, 1, 22:39 , 13-Авг-13 (23)
>> теория проста - iptables - это IP (L3) с небольшими расширениями в
>> сторону L2. а запросы и ответы dhcp идут на L2 которые
>> в iptables не попадают.
>> Для L2 кури ebtables.
> Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь? точно, спи...ул, udp 67/68. значит с чем то спутал...
- fast ethernet skype iptables dhcp, serdyksn, 19:31 , 13-Авг-13 (22)
>> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
>> списке DHCPD и он таки получает свой адрес по дхсп -
>> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.вот вот такого ответа я искал - спасибо мил человек
зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так
|
Версия для распечатки
fast ethernet skype iptables dhcp, 
