Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

firewall mac filter

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
balio



Registrato: 29/03/13 15:21
Messaggi: 32

MessaggioInviato: Ven Mar 29, 2013 3:48 pm    Oggetto: firewall mac filter Rispondi citando

Intanto complimenti per ZS, e' staforte.
Ho cercato sul forum ma non ho trovato quanto cercavo.
Il mio problema e' questo:
ho un server con 2 schede e ZS. 192.168.1.0 wan e 192.168.0.0 lan.
Ho disattivato proxy captive portal dns, ho solo attivo dhcp e funziona.
Ho messo la catena di input a DROP e con una regola cosi':
ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 MAC 00:XX:60:F1:XX:XX decido se un pc puo accedere allo ZS e funziona.
Il problema e' in FORWARDING: con policy DROP e questa regola navigano tutti:
ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
se a questa regola aggiungo un mac nel campo apposito non naviga piu' nessuno.ES:ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 MAC 00:XX:60:F1:XX:XX state NEW,RELATED,ESTABLISHED neppure il pc indicato.
Io avrei necessita' di specificare i mac dei pc che possono navigare, anche facendo una regola per pc.
Grazie in anticipo ed al vostro buon cuore per un neofita del firewall.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Ven Mar 29, 2013 7:48 pm    Oggetto: Rispondi citando

Perchè cosi' configurato , Zs per il forward accetta solo i frames con il source mac specificato , quindi tali frames possono "uscire" , ma i frames di ritorno , che avranno un source mac diverso , vengono droppati.
Dato che il mac-spoofing "vale" sempre , piuttosto che fare regole mac-based , che sarebbero tante quanti i pc che devono navigare , creare nel dhcp degli static binding mac/ip , e creare 2 regole in forward , la prima in Wan out Lan , dest. ip address il range degli static , state RELATED , ESTABLISHED , action ACCEPT. La seconda , in Lan Out WAN , source ip add. il range degli static , action ACCEPT. é molto semplice ma dovrebbe fare ciò che serve .
ciao
Top
Profilo Invia messaggio privato
balio



Registrato: 29/03/13 15:21
Messaggi: 32

MessaggioInviato: Sab Mar 30, 2013 10:40 am    Oggetto: Rispondi citando

Grazie redfive sei stato molto chiaro e fulmineo.

Ho fatto cosi' e va. Comunque ti chiedo conferma
Chain: FORWARD --Policy: DROP

1 - INPUT - ETH1 (la wan)
- OUTPUT - ETH0 (la rete locale)
Destination ip = 192.168.0.1-192.168.0.254 (sono stato largo nella prova)
x ESTABLISHED x RELATED
ACTION : ACCEPT

2 - INPUT - ETH0 ((la rete locale)
- OUTPUT - ETH1 (la wan)
source ip = 192.168.0.1-192.168.0.254 (sono stato largo nella prova)
ACTION : ACCEPT
---------------------------------------------------
A questo punto mi chiedo: potrei aggiungere nella seconda regola anche il MAC (ovviamente una regola per macchina) ?. Lavorerebbe in AND con il 'source ip' ?
Eviterei che un client della lan potesse impostarsi l' ip a mano a attribuirsi quello di un altro client al momento spento.
Grazie ancora e......auguri
Top
Profilo Invia messaggio privato
balio



Registrato: 29/03/13 15:21
Messaggi: 32

MessaggioInviato: Sab Mar 30, 2013 10:56 am    Oggetto: Rispondi citando

Ho provato a mettere anche il filtro Sourde MAC = xx.xx.xx.xx.xx.xx e funziona. Quindi riassumendo per chi vuole filtrare i mac (una regola per scheda):
La tua prima regola, piu' la seconda con aggiunta di source mac tante volte quanti sono i client che devono connettersi.
Ciao
Top
Profilo Invia messaggio privato
aquila



Registrato: 16/02/13 14:03
Messaggi: 24

MessaggioInviato: Ven Ago 16, 2013 8:54 pm    Oggetto: Blocco dei MAC non autorizzati Rispondi citando

Salve ho provato ad eseguire il tuo stesso lavoro per bloccare i mac non autorizzati ma non funziona! posso avere un tuo aiuto? Premetto che non sono proprio molto pratico di sistemi linux, grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it