Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
witam mam takie cos w skrypcie
iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPT
i to dziala bo jezeli ktos zmieni adres mac nie bedzie dzialala mu siec lecz jezeli juz adres mac jest w skrypcje to czy podlacze sie do adresu z koncowka 60 czy 11 czy np 12 to i tak mam net.
Chce zrobic tak ze konkretnie przydzielam dany adres ip pod dany mac adres karty jezeli podlacze sie pod inny ip net nie bedzie mi dzialal.
Jak to zrobic pod iptables?
Offline
możesz użyć również ipset
Offline
[quote=urug]Połącz oba warunki, tzn. "iptables -A FORWARD -s IP -m mac --mac-source MAC" -j ACCEPT[/quote]
Nic mi to nie dalo zrobilem tak jak mowisz a net nadal mam na innym adresie ip tzn do adresu z koncowka 12 dopisalem do forward -s 192.168.0.12 i jak wejde z komputera o innym adresie mac to net nadal mam.
Co zrobic zeby przydzielic ip do tego wlasnie konkretnego macadresu zeby nikt inny tego ip ni mogl wpisac.
Ostatnio edytowany przez czarny30 (2009-01-20 10:05:19)
Offline
http://www.linuxbox.pl/index.php?go=ipsets
http://ipset.netfilter.org/ipset.man.html
Offline
1. sprawdz czy nie masz wpisu
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
bo z tego co idzie wywnioskowac to wynika ze masz natowana cala podsiec
dobrym nawykiem jestuzywanie prefixow okreslajacych ilosc hostow
iptables -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE iptables -A FORWARD -s 192.168.0.11/32 -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPT
ipset warto uzywac jak sie ma wieksza sec na mala skale niewiele zyskasz
Kolejna sprawa obecnie zbaespiecznie polegajace na filtrowanou po adresie MAC to troche o kant dupy monza robic bo teraz corazwiecej lludzi umie upolowa/zmienic sobie adres mac (pytanie jak duza maszsiec?)
Offline
[quote=BiExi]1. sprawdz czy nie masz wpisu
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
bo z tego co idzie wywnioskowac to wynika ze masz natowana cala podsiec
dobrym nawykiem jestuzywanie prefixow okreslajacych ilosc hostow
iptables -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE iptables -A FORWARD -s 192.168.0.11/32 -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPT
ipset warto uzywac jak sie ma wieksza sec na mala skale niewiele zyskasz
Kolejna sprawa obecnie zbaespiecznie polegajace na filtrowanou po adresie MAC to troche o kant dupy monza robic bo teraz corazwiecej lludzi umie upolowa/zmienic sobie adres mac (pytanie jak duza maszsiec?)[/quote]
mam takie cos to jest czesc skryptu masquerady:
# interfejsy LO_IFACE="lo" WAN_IFACE="eth1" LAN_IFACE="eth0" WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` #adresy IP LO_IP="127.0.0.1" # ścieżka do iptables IPTABLES="/usr/sbin/iptables" # Wlaczenie mechanizmu wykrywania oczywistych falszerstw echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter # Ochrona przed atakiem typu Smurf echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Nie aktceptujemy pakietow "source route" echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route # Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # Wlaczamy ochrone przed blednymi komunikatami ICMP error echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow echo "1" > /proc/sys/net/ipv4/conf/all/log_martians # Limitowanie sesji tcp echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time echo "0" > /proc/sys/net/ipv4/tcp_window_scaling echo "0" > /proc/sys/net/ipv4/tcp_sack echo "20" > /proc/sys/net/ipv4/ipfrag_time echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog # TCP timestamps protection echo "1" > /proc/sys/net/ipv4/tcp_timestamps # Ignore redirected packets echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects # uruchomienie przekazywania pakietow IP miedzy interfejsami echo "1" > /proc/sys/net/ipv4/ip_forward # uniemożliwia udostepnianie netu dalej echo "1" > /proc/sys/net/ipv4/ip_default_ttl #IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1 # czyszczenie regul iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X #iptables -F -t nat #iptables -X -t nat #iptables -F -t filter #iptables -X -t filter # ustawienie polityk na DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i ${LO_IFACE} -j ACCEPT iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT # Polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #TTL Ukrycie naszej maskarady iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64 iptables -t mangle -A FORWARD -j TTL --ttl-set 64 iptables -t mangle -A PREROUTING -j TTL --ttl-set 64 # Squid przekierowanie #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.0:3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 # zezwolenie na pingowanie iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT #Zabezpieczenie skanowania routera iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix 'SCAN: ' iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #zezwolenie na polaczenie dla ip iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 700 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 700 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 773 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 773 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 10000 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 10000 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 8767 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 8767 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 14534 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 14534 -j ACCEPT # otwarcie portow iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 25 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 110 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 3128 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8767 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8767 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 20100 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 20100 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 27950:27960 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 27950:27960 -j ACCEPT iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 80 -j ACCEPT iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 8080 -j ACCEPT iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 8080 -j ACCEPT #iptables -t filter -A FORWARD -s 192.168.0.1/255.255.255.0 -d 0/0 -j ACCEPT #iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.1/255.255.255.0 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s 192.168.0.255 -j REDIRECT --to-port 700 iptables -t nat -A PREROUTING -p udp -s 192.168.0.255 -j REDIRECT --to-port 700 #nobek iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1w:99:cr:99:fe -j ACCEPT
dalej mam limitowanie polaczenia na tc i potem na koncu to
iptables -t mangle -N MYSHAPER-OUT iptables -t mangle -I POSTROUTING -o eth1 -j MYSHAPER-OUT iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.11 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.12 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.60 -j MARK --set-mark 21 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.61 -j MARK --set-mark 21 iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20
co o tym sadzisz?
aha siec narazie jest na 10 osob ale bedzie na wiecej :D
Ostatnio edytowany przez czarny30 (2009-01-22 22:32:39)
Offline
Zainstalowalem sobie ipset wydaje polecenie ipset -V i pojawia sie takie cos:
ipset v2.2.9a protocol version 2.
I'm of protocol version 2.
Kernel module is not loaded in, cannot verify kernel version.
Nadmienie ze instalowalem przez apt-get
Jak wpisuje regulki ipset do mac i ip pojawie sie blad ze brakuje pliku lib costam.
jaderko mam takie Linux 2.6.22-14-generic on i686
Pomocy
Ostatnio edytowany przez czarny30 (2009-01-29 01:13:01)
Offline
a odpowiedni modul skompilowany i zaladowany?
[quote=czarny30]brakuje pliku lib costam.[/quote]
ale jezeli mamy wiedziec o co chodzi to to "costam" jest najwazniejsze ...
Ostatnio edytowany przez bercik (2009-01-29 01:20:49)
Offline
po wydaniu polecenia pokazuje sie taka informacja
iptables: Chain already exists FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available iptables v1.3.6: Couldn't load match `set':/lib/iptables/libipt_set.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information.
Offline
nie masz w jajku modulu odpowiedzielnego za ip_set (zaleznosci paczek w Debianie nie obejmuja jadra i jego modulow) ... zreszta chyba w dystrybucyjnych jajkach nie ma ip_set
Ostatnio edytowany przez bercik (2009-02-01 21:25:52)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00088 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.106.7' WHERE u.id=1 |
0.00059 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.106.7', 1732548112) |
0.00046 | SELECT * FROM punbb_online WHERE logged<1732547812 |
0.00190 | DELETE FROM punbb_online WHERE ident='54.36.148.45' |
0.00022 | SELECT topic_id FROM punbb_posts WHERE id=108523 |
0.00021 | SELECT id FROM punbb_posts WHERE topic_id=13201 ORDER BY posted |
0.00031 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13201 AND t.moved_to IS NULL |
0.00027 | SELECT search_for, replace_with FROM punbb_censoring |
0.00059 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13201 ORDER BY p.id LIMIT 0,25 |
0.00073 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13201 |
Total query time: 0.00631 s |