forum.opennet.ru

Составление сообщения

Исходное сообщение

"iptables. Не работают правила с '-m mac --mac-source'"
Отправлено georglk, 12-Авг-10 19:36

На ubuntu 10.04LTS (2.6.32-24-server) iptables 1.4.4-2ubuntu2
очень странно отрабатываются правила с конструкцией "-m mac --mac-source"
вот пример rc.firewall:
# Удаление всех существующих правил
$iptables -v --flush -t filter
$iptables -v --flush -t nat
$iptables -v --flush -t mangle
$iptables -v --flush -t raw
$iptables -v --delete-chain -t filter
$iptables -v --delete-chain -t nat
$iptables -v --delete-chain -t mangle
$iptables -v --delete-chain -t raw
# Установка политик по умолчению
$iptables -v --policy INPUT    DROP
$iptables -v --policy OUTPUT   DROP
$iptables -v --policy FORWARD  DROP
# Параметры ядра (ipsysctl)
$sysctl -w net.ipv4.ip_forward=1
$sysctl -w net.ipv4.tcp_syncookies=1
$sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
$sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
$sysctl -w net.ipv4.conf.all.accept_redirects=0
$sysctl -w net.ipv4.conf.all.send_redirects=0
$sysctl -w net.ipv4.conf.all.accept_source_route=0
$sysctl -w net.ipv4.conf.all.log_martians=1
$sysctl -w net.ipv4.conf.all.secure_redirects=0
$sysctl -w net.ipv4.conf.all.proxy_arp=0
# Загрузка модулей
$modprobe -v ip_conntrack_ftp
$modprobe -v ip_nat_ftp
# Отклоняем вся входящие пакеты с состоянии INVALID
$iptables -v -t filter -I INPUT 1 -m conntrack --ctstate INVALID -j DROP
# Неограниченный трафик на обратной петле
$iptables -v -t filter -A INPUT  -i $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT
$iptables -v -t filter -A OUTPUT -o $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT
# Доступ к локальному интерфейсу только определенным хостам
$iptables -v -t filter -A INPUT  -i $LAN1IF -p all -s $ADMINNET -m mac --mac-source $ADMINMAC -d $LAN1IP1 -j ACCEPT
$iptables -v -t filter -A OUTPUT -o $LAN1IF -p all -s $LAN1IP1 -d $ADMINNET -j ACCEPT
Если указать предпосланную строчку как она есть, то хост с ip-адресом $ADMINNET и mac-ом $ADMINMAC доступа к интерфейсу $LAN1IF не имеет,
а если "-m mac --mac-source" опустить, то все ок
При чем выхлоп от этой строчке вполне нормальный, ошибок нет. в логах тоже не густо
Как с этим боротся?
P.S. $ADMINMAC - 100% указан верно

Исходное сообщение
"iptables. Не работают правила с '-m mac --mac-source'" Отправлено georglk, 12-Авг-10 19:36
На ubuntu 10.04LTS (2.6.32-24-server) iptables 1.4.4-2ubuntu2 очень странно отрабатываются правила с конструкцией "-m mac --mac-source" вот пример rc.firewall: # Удаление всех существующих правил $iptables -v --flush -t filter $iptables -v --flush -t nat $iptables -v --flush -t mangle $iptables -v --flush -t raw $iptables -v --delete-chain -t filter $iptables -v --delete-chain -t nat $iptables -v --delete-chain -t mangle $iptables -v --delete-chain -t raw # Установка политик по умолчению $iptables -v --policy INPUT DROP $iptables -v --policy OUTPUT DROP $iptables -v --policy FORWARD DROP # Параметры ядра (ipsysctl) $sysctl -w net.ipv4.ip_forward=1 $sysctl -w net.ipv4.tcp_syncookies=1 $sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 $sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 $sysctl -w net.ipv4.conf.all.accept_redirects=0 $sysctl -w net.ipv4.conf.all.send_redirects=0 $sysctl -w net.ipv4.conf.all.accept_source_route=0 $sysctl -w net.ipv4.conf.all.log_martians=1 $sysctl -w net.ipv4.conf.all.secure_redirects=0 $sysctl -w net.ipv4.conf.all.proxy_arp=0 # Загрузка модулей $modprobe -v ip_conntrack_ftp $modprobe -v ip_nat_ftp # Отклоняем вся входящие пакеты с состоянии INVALID $iptables -v -t filter -I INPUT 1 -m conntrack --ctstate INVALID -j DROP # Неограниченный трафик на обратной петле $iptables -v -t filter -A INPUT -i $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT $iptables -v -t filter -A OUTPUT -o $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT # Доступ к локальному интерфейсу только определенным хостам $iptables -v -t filter -A INPUT -i $LAN1IF -p all -s $ADMINNET -m mac --mac-source $ADMINMAC -d $LAN1IP1 -j ACCEPT $iptables -v -t filter -A OUTPUT -o $LAN1IF -p all -s $LAN1IP1 -d $ADMINNET -j ACCEPT Если указать предпосланную строчку как она есть, то хост с ip-адресом $ADMINNET и mac-ом $ADMINMAC доступа к интерфейсу $LAN1IF не имеет, а если "-m mac --mac-source" опустить, то все ок При чем выхлоп от этой строчке вполне нормальный, ошибок нет. в логах тоже не густо Как с этим боротся? P.S. $ADMINMAC - 100% указан верно

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> На ubuntu 10.04LTS (2.6.32-24-server) iptables 1.4.4-2ubuntu2 
> очень странно отрабатываются правила с конструкцией "-m mac --mac-source" 
> вот пример rc.firewall: 
> # Удаление всех существующих правил 
> $iptables -v --flush -t filter 
> $iptables -v --flush -t nat 
> $iptables -v --flush -t mangle 
> $iptables -v --flush -t raw 
> $iptables -v --delete-chain -t filter 
> $iptables -v --delete-chain -t nat 
> $iptables -v --delete-chain -t mangle 
> $iptables -v --delete-chain -t raw 
> # Установка политик по умолчению 
> $iptables -v --policy INPUT    DROP 
> $iptables -v --policy OUTPUT   DROP 
> $iptables -v --policy FORWARD  DROP 
> # Параметры ядра (ipsysctl) 
> $sysctl -w net.ipv4.ip_forward=1 
> $sysctl -w net.ipv4.tcp_syncookies=1 
> $sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 
> $sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 
> $sysctl -w net.ipv4.conf.all.accept_redirects=0 
> $sysctl -w net.ipv4.conf.all.send_redirects=0 
> $sysctl -w net.ipv4.conf.all.accept_source_route=0 
> $sysctl -w net.ipv4.conf.all.log_martians=1 
> $sysctl -w net.ipv4.conf.all.secure_redirects=0 
> $sysctl -w net.ipv4.conf.all.proxy_arp=0 
> # Загрузка модулей 
> $modprobe -v ip_conntrack_ftp 
> $modprobe -v ip_nat_ftp 
> # Отклоняем вся входящие пакеты с состоянии INVALID 
> $iptables -v -t filter -I INPUT 1 -m conntrack --ctstate INVALID -j 
> DROP 
> # Неограниченный трафик на обратной петле 
> $iptables -v -t filter -A INPUT  -i $LOOPBACKIF -p all -s 
> $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT 
> $iptables -v -t filter -A OUTPUT -o $LOOPBACKIF -p all -s $LOOPBACKNET 
> -d $LOOPBACKNET -j ACCEPT 
> # Доступ к локальному интерфейсу только определенным хостам 
> $iptables -v -t filter -A INPUT  -i $LAN1IF -p all -s 
> $ADMINNET -m mac --mac-source $ADMINMAC -d $LAN1IP1 -j ACCEPT 
> $iptables -v -t filter -A OUTPUT -o $LAN1IF -p all -s $LAN1IP1 
> -d $ADMINNET -j ACCEPT

> Если указать предпосланную строчку как она есть, то хост с ip-адресом $ADMINNET 
> и mac-ом $ADMINMAC доступа к интерфейсу $LAN1IF не имеет, 
> а если "-m mac --mac-source" опустить, то все ок 
> При чем выхлоп от этой строчке вполне нормальный, ошибок нет. в логах 
> тоже не густо 
> Как с этим боротся?
> P.S. $ADMINMAC - 100% указан верно

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру