Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-01-19 21:55:45
czarny30 - 
Użytkownik
problem z przydzielaniem ip na mac adres
witam mam takie cos w skrypcie
Kod:
iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPT
i to dziala bo jezeli ktos zmieni adres mac nie bedzie dzialala mu siec lecz jezeli juz adres mac jest w skrypcje to czy podlacze sie do adresu z koncowka 60 czy 11 czy np 12 to i tak mam net.
Chce zrobic tak ze konkretnie przydzielam dany adres ip pod dany mac adres karty jezeli podlacze sie pod inny ip net nie bedzie mi dzialal.
Jak to zrobic pod iptables?
Offline
#2 2009-01-19 22:12:12
urug - Członek DUG
#3 2009-01-20 08:06:04
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: problem z przydzielaniem ip na mac adres
możesz użyć również ipset
Offline
#4 2009-01-20 10:03:39
czarny30 - Użytkownik
Re: problem z przydzielaniem ip na mac adres
urug napisał(-a):
Połącz oba warunki, tzn. "iptables -A FORWARD -s IP -m mac --mac-source MAC" -j ACCEPT
Nic mi to nie dalo zrobilem tak jak mowisz a net nadal mam na innym adresie ip tzn do adresu z koncowka 12 dopisalem do forward -s 192.168.0.12 i jak wejde z komputera o innym adresie mac to net nadal mam.
Co zrobic zeby przydzielic ip do tego wlasnie konkretnego macadresu zeby nikt inny tego ip ni mogl wpisac.
Ostatnio edytowany przez czarny30 (2009-01-20 10:05:19)
Offline
#5 2009-01-20 10:18:03
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: problem z przydzielaniem ip na mac adres
Offline
#6 2009-01-20 13:07:46
BiExi - matka przelozona
Re: problem z przydzielaniem ip na mac adres
1. sprawdz czy nie masz wpisu
Kod:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
bo z tego co idzie wywnioskowac to wynika ze masz natowana cala podsiec
dobrym nawykiem jestuzywanie prefixow okreslajacych ilosc hostow
Kod:
iptables -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE iptables -A FORWARD -s 192.168.0.11/32 -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPT
ipset warto uzywac jak sie ma wieksza sec na mala skale niewiele zyskasz
Kolejna sprawa obecnie zbaespiecznie polegajace na filtrowanou po adresie MAC to troche o kant dupy monza robic bo teraz corazwiecej lludzi umie upolowa/zmienic sobie adres mac (pytanie jak duza maszsiec?)
Offline
#7 2009-01-22 22:31:36
czarny30 - Użytkownik
Re: problem z przydzielaniem ip na mac adres
BiExi napisał(-a):
1. sprawdz czy nie masz wpisu
Kod:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADEbo z tego co idzie wywnioskowac to wynika ze masz natowana cala podsiec
dobrym nawykiem jestuzywanie prefixow okreslajacych ilosc hostowKod:
iptables -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE iptables -A FORWARD -s 192.168.0.11/32 -m mac --mac-source 00:1e:88:wc:99:fe -j ACCEPTipset warto uzywac jak sie ma wieksza sec na mala skale niewiele zyskasz
Kolejna sprawa obecnie zbaespiecznie polegajace na filtrowanou po adresie MAC to troche o kant dupy monza robic bo teraz corazwiecej lludzi umie upolowa/zmienic sobie adres mac (pytanie jak duza maszsiec?)
mam takie cos to jest czesc skryptu masquerady:
Kod:
# interfejsy
LO_IFACE="lo"
WAN_IFACE="eth1"
LAN_IFACE="eth0"
WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
#adresy IP
LO_IP="127.0.0.1"
# ścieżka do iptables
IPTABLES="/usr/sbin/iptables"
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Limitowanie sesji tcp
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "20" > /proc/sys/net/ipv4/ipfrag_time
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog
# TCP timestamps protection
echo "1" > /proc/sys/net/ipv4/tcp_timestamps
# Ignore redirected packets
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects
# uruchomienie przekazywania pakietow IP miedzy interfejsami
echo "1" > /proc/sys/net/ipv4/ip_forward
# uniemożliwia udostepnianie netu dalej
echo "1" > /proc/sys/net/ipv4/ip_default_ttl
#IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1
# czyszczenie regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#iptables -F -t nat
#iptables -X -t nat
#iptables -F -t filter
#iptables -X -t filter
# ustawienie polityk na DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i ${LO_IFACE} -j ACCEPT
iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT
# Polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#TTL Ukrycie naszej maskarady
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64
iptables -t mangle -A FORWARD -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -j TTL --ttl-set 64
# Squid przekierowanie
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.0:3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# zezwolenie na pingowanie
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT
#Zabezpieczenie skanowania routera
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix 'SCAN: '
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#zezwolenie na polaczenie dla ip
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 700 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 700 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 773 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 773 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 10000 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 10000 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 8767 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 8767 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 14534 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 14534 -j ACCEPT
# otwarcie portow
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8767 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8767 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 20100 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 20100 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 27950:27960 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 27950:27960 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 8080 -j ACCEPT
#iptables -t filter -A FORWARD -s 192.168.0.1/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.1/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.255 -j REDIRECT --to-port 700
iptables -t nat -A PREROUTING -p udp -s 192.168.0.255 -j REDIRECT --to-port 700
#nobek
iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:1w:99:cr:99:fe -j ACCEPTdalej mam limitowanie polaczenia na tc i potem na koncu to
Kod:
iptables -t mangle -N MYSHAPER-OUT iptables -t mangle -I POSTROUTING -o eth1 -j MYSHAPER-OUT iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.11 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.12 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.60 -j MARK --set-mark 21 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.61 -j MARK --set-mark 21 iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20
co o tym sadzisz?
aha siec narazie jest na 10 osob ale bedzie na wiecej :D
Ostatnio edytowany przez czarny30 (2009-01-22 22:32:39)
Offline
#8 2009-01-29 01:10:49
czarny30 - Użytkownik
Re: problem z przydzielaniem ip na mac adres
Zainstalowalem sobie ipset wydaje polecenie ipset -V i pojawia sie takie cos:
ipset v2.2.9a protocol version 2.
I'm of protocol version 2.
Kernel module is not loaded in, cannot verify kernel version.
Nadmienie ze instalowalem przez apt-get
Jak wpisuje regulki ipset do mac i ip pojawie sie blad ze brakuje pliku lib costam.
jaderko mam takie Linux 2.6.22-14-generic on i686
Pomocy
Ostatnio edytowany przez czarny30 (2009-01-29 01:13:01)
Offline
#9 2009-01-29 01:19:05
bercik - Moderator Mamut
Re: problem z przydzielaniem ip na mac adres
a odpowiedni modul skompilowany i zaladowany?
czarny30 napisał(-a):
brakuje pliku lib costam.
ale jezeli mamy wiedziec o co chodzi to to "costam" jest najwazniejsze ...
Ostatnio edytowany przez bercik (2009-01-29 01:20:49)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#10 2009-02-01 18:08:02
czarny30 - Użytkownik
Re: problem z przydzielaniem ip na mac adres
po wydaniu polecenia pokazuje sie taka informacja
Kod:
iptables: Chain already exists FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available FATAL: Module ip_set not found. ipset v2.2.9a: Error from kernel: Protocol not available iptables v1.3.6: Couldn't load match `set':/lib/iptables/libipt_set.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information.
Offline
#11 2009-02-01 21:24:51
bercik - Moderator Mamut
Re: problem z przydzielaniem ip na mac adres
nie masz w jajku modulu odpowiedzielnego za ip_set (zaleznosci paczek w Debianie nie obejmuja jadra i jego modulow) ... zreszta chyba w dystrybucyjnych jajkach nie ma ip_set
Ostatnio edytowany przez bercik (2009-02-01 21:25:52)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline