форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение		[ Отслеживать ]

"Доступ в сеть. Фильтрация по мак"	+/–
Сообщение от Alexander (??) on 20-Мрт-11, 13:12
Привет Есть две локальные сети подключенные к одному провайдеру. Обе сети имеют на выходе CentOS и пингуют друг друга. LAN1 имеет внешний интерфейс с айпи - 192.168.16.14 LAN2 имеет внешний интерфейс с айпи - 192.168.34.117 Настроить маршрутизацию между сетями, дабы все компы внутри сети видели друг друга - не проблема. Но как сделать чтобы LAN2 пускал к себе в сеть только определенные машины из LAN1 по MAC.? Если можно, то по-подробнее т.к. не очень силен в линуксе) Заранее благодарю за помощь
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Доступ в сеть. Фильтрация по мак"	+/–
Сообщение от reader (ok) on 20-Мрт-11, 16:00
>[оверквотинг удален] > Есть две локальные сети подключенные к одному провайдеру. > Обе сети имеют на выходе CentOS и пингуют друг друга. > LAN1 имеет внешний интерфейс с айпи - 192.168.16.14 > LAN2 имеет внешний интерфейс с айпи - 192.168.34.117 > Настроить маршрутизацию между сетями, дабы все компы внутри сети видели друг друга > - не проблема. > Но как сделать чтобы LAN2 пускал к себе в сеть только определенные > машины из LAN1 по MAC.? > Если можно, то по-подробнее т.к. не очень силен в линуксе) > Заранее благодарю за помощь с MAC можно работать только в пределах подсети, поэтому самый простой способ, фильторовать на шлюзе LAN1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Доступ в сеть. Фильтрация по мак"	+/–
	Сообщение от Alexander (??) on 20-Мрт-11, 16:26
	>[оверквотинг удален] >> LAN1 имеет внешний интерфейс с айпи - 192.168.16.14 >> LAN2 имеет внешний интерфейс с айпи - 192.168.34.117 >> Настроить маршрутизацию между сетями, дабы все компы внутри сети видели друг друга >> - не проблема. >> Но как сделать чтобы LAN2 пускал к себе в сеть только определенные >> машины из LAN1 по MAC.? >> Если можно, то по-подробнее т.к. не очень силен в линуксе) >> Заранее благодарю за помощь > с MAC можно работать только в пределах подсети, поэтому самый простой способ, > фильторовать на шлюзе LAN1 Т.е. , если я правильно понимаю, если lan1 получает из своей сети пакет на отправку с dest IP - 192.168.0.2 (IP хоста в LAN2) и src mac из списка разрешенных, то отправляет, если mac запрещен - обрубает..? аа как это реализовать ?) через iptables , полагаю ) А проблема с подсетями решиться если сделать две сети 192.168.1.0 & 192.168.0.0 и машинам приписать маску /23 ? Тогда можно будет
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Доступ в сеть. Фильтрация по мак"	+/–
	Сообщение от reader (ok) on 20-Мрт-11, 16:38
	>[оверквотинг удален] >>> машины из LAN1 по MAC.? >>> Если можно, то по-подробнее т.к. не очень силен в линуксе) >>> Заранее благодарю за помощь >> с MAC можно работать только в пределах подсети, поэтому самый простой способ, >> фильторовать на шлюзе LAN1 > Т.е. , если я правильно понимаю, если lan1 получает из своей сети > пакет на отправку с dest IP - 192.168.0.2 (IP хоста в > LAN2) и src mac из списка разрешенных, то отправляет, если mac > запрещен - обрубает..? аа как это реализовать ?) через iptables , > полагаю ) да > А проблема с подсетями решиться если сделать две сети 192.168.1.0 & 192.168.0.0 > и машинам приписать маску /23 ? > Тогда можно будет нет, это если бы они были соединены напрямую, без шлюзов и провайдеров. но если хотите такого поверх имеющегося, смотрите про vpn
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Доступ в сеть. Фильтрация по мак"	+/–
	Сообщение от Alexander (??) on 20-Мрт-11, 16:51
	>[оверквотинг удален] >> пакет на отправку с dest IP - 192.168.0.2 (IP хоста в >> LAN2) и src mac из списка разрешенных, то отправляет, если mac >> запрещен - обрубает..? аа как это реализовать ?) через iptables , >> полагаю ) > да >> А проблема с подсетями решиться если сделать две сети 192.168.1.0 & 192.168.0.0 >> и машинам приписать маску /23 ? >> Тогда можно будет > нет, это если бы они были соединены напрямую, без шлюзов и провайдеров. > но если хотите такого поверх имеющегося, смотрите про vpn Сейчас как раз работает на впн. Но по некоторым причинам нужно от него отказаться и сделать мак фильтрацию Подскажи, пожалуйста, как сообразить это дело в iptables на LAN2
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Доступ в сеть. Фильтрация по мак"	+/–
	Сообщение от reader (ok) on 20-Мрт-11, 17:13
	>[оверквотинг удален] >>> полагаю ) >> да >>> А проблема с подсетями решиться если сделать две сети 192.168.1.0 & 192.168.0.0 >>> и машинам приписать маску /23 ? >>> Тогда можно будет >> нет, это если бы они были соединены напрямую, без шлюзов и провайдеров. >> но если хотите такого поверх имеющегося, смотрите про vpn > Сейчас как раз работает на впн. Но по некоторым причинам нужно от > него отказаться и сделать мак фильтрацию > Подскажи, пожалуйста, как сообразить это дело в iptables на LAN2 если блокировать кого кто из LAN1, то никак , потому что как только пакет из LAN1 прошел через шлюз LAN1 к провайдеру, определить MAC отправителя из LAN1  не возможно. а так: http://www.opennet.me/docs/RUS/iptables/#EXPLICITMATCHES
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема