作者 主題: 如何限制MAC存取internet  (閱讀 3463 次)

0 會員 與 1 訪客 正在閱讀本文。

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
如何限制MAC存取internet
« 於: 2003-03-04 10:30 »
想要限制只有我指定的MAC能夠存取internet該如何設定
這樣對嗎
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:01 -j ACCEPT
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:02 -j ACCEPT

iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -j DROP

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
如何限制MAC存取internet
« 回覆 #1 於: 2003-03-04 12:43 »
條件:
client 與 iptables 之間沒經 router ,也就是都在同一 subnet 內。
另,別忘了:連線是雙向的。只 accept 出去,不 accept 回來,也是不通。

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
如何限制MAC存取internet
« 回覆 #2 於: 2003-03-05 10:31 »
引述: "netman"
條件:
client 與 iptables 之間沒經 router ,也就是都在同一 subnet 內。
另,別忘了:連線是雙向的。只 accept 出去,不 accept 回來,也是不通。


實際測試結果不管前兩行mac怎麼設,該mac都是可以連線出去的
問題應該是出在第三行(不曉得第三行有無設錯)
記得iptables的比對規則是比對到就執行,不管後面定的rule
1)iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:01 -j ACCEPT
2)iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:02 -j ACCEPT
3)iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -j DROP

補充一下,iptables是跑NAT主機的,有以下設定
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

mimeory

  • 訪客
如何限制MAC存取internet
« 回覆 #3 於: 2003-03-05 10:51 »
)iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -j DROP
光這行...就把所有連線給檔死了...

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
如何限制MAC存取internet
« 回覆 #4 於: 2003-03-05 11:27 »
引述: "cisco3662"
引述: "netman"
條件:
client 與 iptables 之間沒經 router ,也就是都在同一 subnet 內。
另,別忘了:連線是雙向的。只 accept 出去,不 accept 回來,也是不通。


實際測試結果不管前兩行mac怎麼設,該mac都是可以連線出去的
問題應該是出在第三行(不曉得第三行有無設錯)
記得iptables的比對規則是比對到就執行,不管後面定的rule
1)iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:01 -j ACCEPT
2)iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:02 -j ACCEPT
3)iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -j DROP

補充一下,iptables是跑NAT主機的,有以下設定
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

實際測試結果不管前兩行mac怎麼設,該mac都是可以連線出去的
該mac 為那一個mac?!

如果那個mac 在 198.168.0.0/24 裡, 一但決定 routing decision 就會由nat 主機負責連線, 應該就沒有要設 accept 回來的rule

不知道這樣解釋對不對, 請指教^^

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
如何限制MAC存取internet
« 回覆 #5 於: 2003-03-05 11:48 »
我這樣說好了....
我的需求是只有我指定的MAC(user pc)能夠透過我的NAT出去internet,其它的一律不行存取internet
簡單架構如下

internet---NAT---switch----pc1,2,3