forum.opennet.ru - "iptables. Не работают правила с '-m mac --mac-source'" (1)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables. Не работают правила с '-m mac --mac-source'"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables. Не работают правила с '-m mac --mac-source'"	+/–
Сообщение от georglk (ok) on 12-Авг-10, 19:36
На ubuntu 10.04LTS (2.6.32-24-server) iptables 1.4.4-2ubuntu2 очень странно отрабатываются правила с конструкцией "-m mac --mac-source" вот пример rc.firewall: # Удаление всех существующих правил $iptables -v --flush -t filter $iptables -v --flush -t nat $iptables -v --flush -t mangle $iptables -v --flush -t raw $iptables -v --delete-chain -t filter $iptables -v --delete-chain -t nat $iptables -v --delete-chain -t mangle $iptables -v --delete-chain -t raw # Установка политик по умолчению $iptables -v --policy INPUT DROP $iptables -v --policy OUTPUT DROP $iptables -v --policy FORWARD DROP # Параметры ядра (ipsysctl) $sysctl -w net.ipv4.ip_forward=1 $sysctl -w net.ipv4.tcp_syncookies=1 $sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 $sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 $sysctl -w net.ipv4.conf.all.accept_redirects=0 $sysctl -w net.ipv4.conf.all.send_redirects=0 $sysctl -w net.ipv4.conf.all.accept_source_route=0 $sysctl -w net.ipv4.conf.all.log_martians=1 $sysctl -w net.ipv4.conf.all.secure_redirects=0 $sysctl -w net.ipv4.conf.all.proxy_arp=0 # Загрузка модулей $modprobe -v ip_conntrack_ftp $modprobe -v ip_nat_ftp # Отклоняем вся входящие пакеты с состоянии INVALID $iptables -v -t filter -I INPUT 1 -m conntrack --ctstate INVALID -j DROP # Неограниченный трафик на обратной петле $iptables -v -t filter -A INPUT -i $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT $iptables -v -t filter -A OUTPUT -o $LOOPBACKIF -p all -s $LOOPBACKNET -d $LOOPBACKNET -j ACCEPT # Доступ к локальному интерфейсу только определенным хостам $iptables -v -t filter -A INPUT -i $LAN1IF -p all -s $ADMINNET -m mac --mac-source $ADMINMAC -d $LAN1IP1 -j ACCEPT $iptables -v -t filter -A OUTPUT -o $LAN1IF -p all -s $LAN1IP1 -d $ADMINNET -j ACCEPT Если указать предпосланную строчку как она есть, то хост с ip-адресом $ADMINNET и mac-ом $ADMINMAC доступа к интерфейсу $LAN1IF не имеет, а если "-m mac --mac-source" опустить, то все ок При чем выхлоп от этой строчке вполне нормальный, ошибок нет. в логах тоже не густо Как с этим боротся? P.S. $ADMINMAC - 100% указан верно
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

iptables. Не работают правила с '-m mac --mac-source', reader, 10:29 , 13-Авг-10, (1)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables. Не работают правила с '-m mac --mac-source'" +/–

Сообщение от reader (ok) on 13-Авг-10, 10:29

ADMINNET в той же подсети или за шлюзом?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру