Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptables .. wie erweitere ich ...

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
neq
Gast





BeitragVerfasst am: 15. Apr 2002 16:27   Titel: iptables .. wie erweitere ich ...

hi .. wie erweitere ich diese Befehlszeile, wenn ich die Routen von ppp0 auf eth0 nur für ganz bestimmte MAC-Addressen zulassen will ? ... also nicht auf das gesamte interne Netz.

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Desweiteren suche ich eine Möglichkeit, mit der ich Zugriff auf den Router nur von einem Rechner aus dem internen Netz mit einer bestimmten Mac. Addresse erlauben will.

danke ... ich steige gerade um .. habe zwar viele Howtos gefunden, aber keine, die gerade dieses ANliegen beschreibt.


Dank euch schon mal im VORAUS

ne_eq
 

zsm



Anmeldungsdatum: 12.06.2001
Beiträge: 56

BeitragVerfasst am: 15. Apr 2002 20:37   Titel: Re: iptables .. wie erweitere ich ...

Hallo,

ich kenne mich mit MAC-Adressen nicht so gut aus. Mit IP Adressen würde ich wie folgt verfahren:

Erstmal die default policy auf DROP stellen "iptables --policy INPUT DROP" (ebenso für FORWARD und OUTPUT)

Dann mit zwei selbstdefinierten chains für FORWARD
iptables --new-chain forward-in
iptables --new-chain forward-out

iptables --append forward-in --protocol TCP --destination-port 80 ! --syn --jump ACCEPT
iptables --append forward-out --protocol TCP --destination-port 80 --jump ACCEPT
(beliebige weitere Regeln einfügen)

iptables --append FORWARD --destination "Netzmaske" --in-interace ppp0 --out-interface eth0 --jump forward-in
iptables --append FORWARD --source "Netzmaske" --in-interface eth0 --out-interace ppp0 --jump forward-out

Der spezielle Rechner bekommt dann noch seine Regeln für INPUT und OUTPUT
iptables --new-chain admin

iptables --append admin --protocol TCP --destination-port 22 -j ACCEPT
(beliebige weitere Regeln einfügen)

iptables --append OUTPUT --destination "IP-Adresse" --out-interace eth0 --jump admin
iptables --append INPUT --source "IP-Adresse" --in-interface eth0 --jump admin

Diese Form ist nur sehr anfällig für Spoofing, sobald sich jemand selber eine entsprechende IP-Adresse geben kann läßt die Firewall ihn durch.

Es gibt eine option --mac-source, ich weiß nicht ob man damit das ganze 1 zu 1 umsetzen kann.

Viel Glück
Florian
_________________
The box said "Windows 95, 98 or better" - so I installed Linux ...
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy