hi .. wie erweitere ich diese Befehlszeile, wenn ich die Routen von ppp0 auf eth0 nur für ganz bestimmte MAC-Addressen zulassen will ? ... also nicht auf das gesamte interne Netz.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Desweiteren suche ich eine Möglichkeit, mit der ich Zugriff auf den Router nur von einem Rechner aus dem internen Netz mit einer bestimmten Mac. Addresse erlauben will.
danke ... ich steige gerade um .. habe zwar viele Howtos gefunden, aber keine, die gerade dieses ANliegen beschreibt.
Dank euch schon mal im VORAUS
ne_eq
iptables .. wie erweitere ich ...
Re: iptables .. wie erweitere ich ...
Hallo,
ich kenne mich mit MAC-Adressen nicht so gut aus. Mit IP Adressen würde ich wie folgt verfahren:
Erstmal die default policy auf DROP stellen "iptables --policy INPUT DROP" (ebenso für FORWARD und OUTPUT)
Dann mit zwei selbstdefinierten chains für FORWARD
iptables --new-chain forward-in
iptables --new-chain forward-out
iptables --append forward-in --protocol TCP --destination-port 80 ! --syn --jump ACCEPT
iptables --append forward-out --protocol TCP --destination-port 80 --jump ACCEPT
(beliebige weitere Regeln einfügen)
iptables --append FORWARD --destination "Netzmaske" --in-interace ppp0 --out-interface eth0 --jump forward-in
iptables --append FORWARD --source "Netzmaske" --in-interface eth0 --out-interace ppp0 --jump forward-out
Der spezielle Rechner bekommt dann noch seine Regeln für INPUT und OUTPUT
iptables --new-chain admin
iptables --append admin --protocol TCP --destination-port 22 -j ACCEPT
(beliebige weitere Regeln einfügen)
iptables --append OUTPUT --destination "IP-Adresse" --out-interace eth0 --jump admin
iptables --append INPUT --source "IP-Adresse" --in-interface eth0 --jump admin
Diese Form ist nur sehr anfällig für Spoofing, sobald sich jemand selber eine entsprechende IP-Adresse geben kann läßt die Firewall ihn durch.
Es gibt eine option --mac-source, ich weiß nicht ob man damit das ganze 1 zu 1 umsetzen kann.
Viel Glück
Florian
ich kenne mich mit MAC-Adressen nicht so gut aus. Mit IP Adressen würde ich wie folgt verfahren:
Erstmal die default policy auf DROP stellen "iptables --policy INPUT DROP" (ebenso für FORWARD und OUTPUT)
Dann mit zwei selbstdefinierten chains für FORWARD
iptables --new-chain forward-in
iptables --new-chain forward-out
iptables --append forward-in --protocol TCP --destination-port 80 ! --syn --jump ACCEPT
iptables --append forward-out --protocol TCP --destination-port 80 --jump ACCEPT
(beliebige weitere Regeln einfügen)
iptables --append FORWARD --destination "Netzmaske" --in-interace ppp0 --out-interface eth0 --jump forward-in
iptables --append FORWARD --source "Netzmaske" --in-interface eth0 --out-interace ppp0 --jump forward-out
Der spezielle Rechner bekommt dann noch seine Regeln für INPUT und OUTPUT
iptables --new-chain admin
iptables --append admin --protocol TCP --destination-port 22 -j ACCEPT
(beliebige weitere Regeln einfügen)
iptables --append OUTPUT --destination "IP-Adresse" --out-interace eth0 --jump admin
iptables --append INPUT --source "IP-Adresse" --in-interface eth0 --jump admin
Diese Form ist nur sehr anfällig für Spoofing, sobald sich jemand selber eine entsprechende IP-Adresse geben kann läßt die Firewall ihn durch.
Es gibt eine option --mac-source, ich weiß nicht ob man damit das ganze 1 zu 1 umsetzen kann.
Viel Glück
Florian
The box said "Windows 95, 98 or better" - so I installed Linux ...