Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> блокировка по MAC
Начать новую тему   Ответить на тему   вывод темы на печать

блокировка по MAC

Предыдущая тема :: Следующая тема  
Автор
Сообщение
Rre
Заслуженный писатель



Зарегистрирован: 04.08.2008
Сообщения: 4369


Статус: Offline
СообщениеДобавлено: 2011.04.27 16:36.31
Ответить с цитатой
Вводная:
Linux ubuntu 2.6.35-22-generic-pae #35-Ubuntu SMP Sat Oct 16 22:16:51 UTC 2010 i686 GNU/Linux
поднят сервер dhcp3 и настроен. раздает адреса
задача: заблокировать по MAC адресу, что бы компьютер не получал от dhcp сервера ip адрес
пробовали блочить следующим образом:
iptables -I INPUT -m mac --mac-source $mac -j DROP
iptables дропает что то в цепочке INPUT:
767 124K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:13:46:FF:04:7D
в вики указанно что запрос происходит по протоколу DHCP является расширением протокола BOOTP
соответственно iptables их уруливать и фильтровать не может.
так же была вкуренна ветка на опеннет: http://www.opennet.ru/openforum/vsluhforumID1/53234.html
Главной задачей состоит то, что бы НЕ давать плохим макушникам IP. вариант давать только известным макушникам ip? а остальным нафиг-не устроит.
_________________
spice must flow
הבה נגילה ונשמחה
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
silitra
Админ


Пол: Пол:Муж.
Зарегистрирован: 24.11.2004
Сообщения: 2168
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2011.04.27 18:26.11
Ответить с цитатой
Rre
iptables -I INPUT -m mac --mac-source $mac -j REJECT
или сложнее, по смещению в пакете.
iptables -I INPUT -p udp -m udp --dport 67 -m string --algo bm --from 55 --to 56 --hex-string "|001346ff047d|" -j REJECT

так хелпу к модулю можно глянуть.
iptables -m string -h
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Onix_R
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 09.11.2010
Сообщения: 159
Откуда: От верблюда

Статус: Offline
СообщениеДобавлено: 2011.04.27 20:14.42
Ответить с цитатой
silitra
К сожалению товарищ Rre не сможет быстро ответить, поэтому я попытаюсь сделать это за него, в общем на виртуальных машинах смоделировал тот самый случай, что мы получили:

root@test-ubuntu:# iptables -I INPUT -p udp -m udp --dport 67 -m string --algo bm --from 55 --to 56 --hex-string "|080027414ea9|" -j REJECT

hex-string заменил под клиентскую

правило съело без возмущений, но с теми политиками, что стояли по умолчанию(DROP: INPUT,FORWARD,OUTPUT) я получил IP адрес от сервера без проблем: 

root@test-ubuntu:/home/onix# iptables -nvL
Chain INPUT (policy DROP 39 packets, 5145 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 STRING match "|080027414ea9|" ALGO name bm FROM 55 TO 56 reject-with icmp-port-unreachable 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Rre
Заслуженный писатель



Зарегистрирован: 04.08.2008
Сообщения: 4369


Статус: Offline
СообщениеДобавлено: 2011.04.27 20:50.07
Ответить с цитатой
Onix_R
первый способ тоже затести на всякий случай
_________________
spice must flow
הבה נגילה ונשמחה
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Onix_R
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 09.11.2010
Сообщения: 159
Откуда: От верблюда

Статус: Offline
СообщениеДобавлено: 2011.04.27 21:05.00
Ответить с цитатой
Rre
Затестил, пакеты в дроп полетели, но dhcp клиент посмотрел на фаервол как на [цензура] и получил адрес.

зы: спать ушел.
_________________
Сыграем? Кто уронил систему — проиграл:
dd if=/dev/urandom of=/dev/kmem bs=1 count=1 seek=$RANDOM
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Rre
Заслуженный писатель



Зарегистрирован: 04.08.2008
Сообщения: 4369


Статус: Offline
СообщениеДобавлено: 2011.04.27 21:38.15
Ответить с цитатой
летит пакет на сервер, подлетает к фаеру, а тут его dhcp встречает и приглашает выпить Pyan' ....
походу iptables с такими пакетами работать нехотит. реализация наверно только в виде отдельной железки до сервера фильтрующая пакеты по содержимому... Trud
_________________
spice must flow
הבה נגילה ונשמחה
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
silitra
Админ


Пол: Пол:Муж.
Зарегистрирован: 24.11.2004
Сообщения: 2168
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2011.04.28 09:41.07
Ответить с цитатой
Onix_R
Rre
Вообщем dhcp так забрить не получится,
нужно в конфиг dhcp прописать маки которые необходимо блокировать.

Добавлено спустя 4 минуты 31 секунду:

class "blocked-mac"
{
match pick-first-value (option dhcp-client-identifier, hardware);
}
subclass "blocked-mac" 1:11:22:33:44:55:66;
subclass "blocked-mac" 1:22:33:44:55:66:77;
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
eLSe
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 14.11.2010
Сообщения: 887


Статус: Offline
СообщениеДобавлено: 2011.04.29 12:06.25
Ответить с цитатой
man dhcp-eval

silitra
+1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Rre
Заслуженный писатель



Зарегистрирован: 04.08.2008
Сообщения: 4369


Статус: Offline
СообщениеДобавлено: 2011.04.29 18:33.15
Ответить с цитатой
eLSe
ну да теперь курим этот ман, до этого то курили просто ман dhcp и iptables.
_________________
spice must flow
הבה נגילה ונשמחה
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
unname
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 01.08.2009
Сообщения: 995


Статус: Offline
СообщениеДобавлено: 2011.05.03 01:56.17
Ответить с цитатой
Ваня, это... ты хочешь просто компы определенные в сеть не врубать или реально хочешь с недобросвестными людьми таким образом бороться?
Просто мак адрес меняется очень быстро, на бздях его можно вообще на лету менять...
Может стоит попробовать фильтровать гадов по каким-то нежелательным действиям?
_________________
Не к добру на Руси шорох,
Что-то с ветра дымком тянет!
Знать, не весь отсырел порох,
Да не всем подслащен пряник
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Страница 1 из 1
Начать новую тему   Ответить на тему   вывод темы на печать
Показать сообщения:   
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> блокировка по MAC

 
Перейти: 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы