Доступ к интернет по mac-address

Автор: beduin Дата: 25.01.2008 10:41 Господа, добрый день.
У меня вопрос (искал по форуму, но что-то не нашел). Можно ли предоставить доступ к Интернет по мак-адресу, т.е. если произойдет подмена ip-address или если сменится сетевая карта (айпи например забили руками, а мака ни знают), то чтобы интернет не работал. Желательно все реализовать стандартными средствами linux.
Буду рад любым советам.
Re: доступ к интернет по mac-address 25.01.2008 10:54BigAndy Так мак адрес тоже можно подменить....
Можно. squid и/или iptables.
Re: доступ к интернет по mac-address 25.01.2008 11:13beduin BigAndy писал(а):
> Так мак адрес тоже можно подменить....
да, можно, но будем считать что мак ни кто не меняет...
> Можно. squid и/или iptables.
если можно, то немного чуть-чуть подробнее про iptables и mac-address
Re: доступ к интернет по mac-address 25.01.2008 11:31BigAndy [linuxportal.ru]
[calculator.gentoo.ru]

Часть рецептов подойдет отсюда [sys-admin.org]
Re: доступ к интернет по mac-address 25.01.2008 12:00beduin BigAndy писал(а):
> [calculator.gentoo.ru]
BigAndy, извини, но я что-то не совсем понял что я могу прочитать по этой ссылке. у меня грузится практически чистая страница...
Re: доступ к интернет по mac-address 25.01.2008 12:41BigAndy Статью "Подробная настройка iptables2
Re: доступ к интернет по mac-address 25.01.2008 13:09peter_ir Если скопировать в окно браузера url в [], то страница не находится, если дописать 2, тоже.
Re: доступ к интернет по mac-address 25.01.2008 13:43beduin peter_ir писал(а):

> Если скопировать в окно браузера url в [], то страница не
> находится, если дописать 2, тоже.
>
> Петр.
аналогично...
Re: доступ к интернет по mac-address 25.01.2008 14:07aboris Попробовал после сообщения Петра - получилось, после Вашего решил еще раз попробовать - опять получилось. Может я что-то не так делаю? (c) :Улыбка)
Re: доступ к интернет по mac-address 25.01.2008 14:21beduin aboris писал(а):
> Попробовал после сообщения Петра - получилось, после Вашего
> решил еще раз попробовать - опять получилось. Может я что-то не
> так делаю? (c) :Улыбка)
можно ссылку на то, что у вас получилось?
Re: доступ к интернет по mac-address 25.01.2008 15:04peter_ir У меня не получилось, т.к. я скопировал все, вместе с "url=".
Если скопировать сам url, то страница открывается.
Вообще приятно, что я не один такой.
Re: доступ к интернет по mac-address 25.01.2008 15:12aboris Вот ссылка: [ru.gentoo-wiki.com]Подробная_настройка_iptables
до конца строки!
Re: доступ к интернет по mac-address 25.01.2008 15:22beduin по той ссылке, что дал BigAndy открывается пустая страница wiki где по-русски написано, что текст по данному материалу отсутствует.
анекдот:
Приходит мужик в публичный дом и говорит
-мне бы женщину чтобы по и*****ся, а они ему
-да, не вопрос. Тут он дастает член длинной 122 см и им показывает
?????? все в шоке
тогда ему говорят, -а может в рот?
-в рот я и сам могу. Мне бы по и*****ся!
Re: доступ к интернет по mac-address 25.01.2008 16:11peter_ir По той ссылке надо скопировать в окно браузера не все, что в [], а начиная с 'h' до ], у меня
после этого страница нашлась.
Re: доступ к интернет по mac-address 25.01.2008 17:14beduin нашел по ссылкам
Re: доступ к интернет по mac-address 08.02.2008 21:33beduin Вот появилось время и решил разобраться на работе с iptables, но что-то не пойму как он работает (был настроен очень давно). Показываю его часть.

# Generated by iptables-save v1.2.5 on Wed Jan 30 16:03:46 2008
*mangle
:-PREROUTING ACCEPT [135607479402:109432243383278]
:INPUT ACCEPT [1575525099:183246682402]
:FORWARD ACCEPT [132759467264:109148290130992]
:OUTPUT ACCEPT [2937064081:2000546341718]
:-POSTROUTING ACCEPT [134109217207:111014247820261]
***# не пойму, что означают вышеописанные цифры в квадратных скобках*** Грустный

-A PREROUTING -s 192.168.0.2 -j TOS --set-tos 0x08
-A OUTPUT -j TOS --set-tos 0x08
COMMIT
*nat
:-PREROUTING ACCEPT [3190900771:218901800015]
:-POSTROUTING ACCEPT [907578:982735422]
:OUTPUT ACCEPT [30842860:5438717754]
***# или вот эти вышеописанные цифры в квадратных скобках*** Грустный
-A PREROUTING -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP
-A POSTROUTING -j ACCEPT
-A POSTROUTING -d 213.234.238.0/255.255.255.240 -j ACCEPT
-A POSTROUTING -d 100.0.0.0/255.255.255.0 -j ACCEPT
-A POSTROUTING -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -j SNAT --to-source 213.234.238.4
-A POSTROUTING -s 10.0.0.1 -j SNAT --to-source 213.234.238.3
COMMIT
# Completed on Wed Jan 30 16:03:46 2008
# Generated by iptables-save v1.2.5 on Wed Jan 30 16:03:46 2008
*filter
:INPUT DROP [7842179:1625649692]
:FORWARD DROP [1336694:96079280]
:OUTPUT ACCEPT [64866798:9322046772]
:REJECTWLOG - [0:0]
:REJECTWLOGFW - [0:0]
:anty_virus - [0:0]
*** что это за фигня, например, :anty_virus - [0:0]?***
:billing - [0:0]
:billing_out_forward - [0:0]
:billinginput - [0:0]
:billingout - [0:0]
:external_addres_pass - [0:0]
:forw_serv_stop - [0:0]
:forward_reject - [0:0]
:forward_stop - [0:0]
.....
.....
-A anty_virus -s 192.168.43.46 -j RETURN
-A anty_virus -s 192.168.39.6 -j RETURN
-A anty_virus -s 192.168.41.22 -j RETURN
-A anty_virus -s 192.168.43.58 -j RETURN
-A anty_virus -s 192.168.37.234 -j RETURN
*** Эти правила для доступа пользователя к почте через smtp***
Блин, как это работает?
-A anty_virus -s 192.168.37.234 -j RETURN откуда эта хрень знает, что надо лезть через smtp.
если исходить из этого: :anty_virus - [0:0], то тогда где тут smtp?
Re: доступ к интернет по mac-address 08.02.2008 21:41Bircoph > # не пойму, что означают вышеописанные цифры* Грустный
> # или вот эти вышеописанные цифры * Грустный

Это счётчики пакетов:байт.

> что это за фигня, например, :anty_virus - [0:0]?*

anty_virus -- это пользовательская цепочка.

> Эти правила для доступа пользователя к почте через smtp*

Это враньё. Эти правила возвращают пакеты с заданных ip из
цепочки в родительскую. Скорее всего, это бан-лист для
внутренних ip с вирусами. Точнее сказать нельзя без полного
текста iptables.

Кстати, лучше приводить не сохранённые цепочки, а скрипты,
которыми задаются правила, часто так понятнее.
Re: доступ к интернет по mac-address 08.02.2008 22:10beduin Bircoph писал(а):
>Точнее сказать нельзя без полного текста iptables.
**легко**
# Generated by iptables-save v1.2.5 on Wed Jan 30 16:03:46 2008
*mangle
:-PREROUTING ACCEPT [135607479402:109432243383278]
:INPUT ACCEPT [1575525099:183246682402]
:FORWARD ACCEPT [132759467264:109148290130992]
:OUTPUT ACCEPT [2937064081:2000546341718]
:-POSTROUTING ACCEPT [134109217207:111014247820261]
-A PREROUTING -s 192.168.0.2 -j TOS --set-tos 0x08
-A OUTPUT -j TOS --set-tos 0x08
COMMIT
# Completed on Wed Jan 30 16:03:46 2008
# Generated by iptables-save v1.2.5 on Wed Jan 30 16:03:46 2008
*nat
:-PREROUTING ACCEPT [3190900771:218901800015]
:-POSTROUTING ACCEPT [907578:982735422]
:OUTPUT ACCEPT [30842860:5438717754]
-A PREROUTING -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP
-A POSTROUTING -j ACCEPT
-A POSTROUTING -d 213.234.238.0/255.255.255.240 -j ACCEPT
-A POSTROUTING -d 100.0.0.0/255.255.255.0 -j ACCEPT
-A POSTROUTING -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -j SNAT --to-source 213.234.238.4
-A POSTROUTING -s 10.0.0.1 -j SNAT --to-source 213.234.238.3
COMMIT
# Completed on Wed Jan 30 16:03:46 2008
# Generated by iptables-save v1.2.5 on Wed Jan 30 16:03:46 2008
*filter
:INPUT DROP [7842179:1625649692]
:FORWARD DROP [1336694:96079280]
:OUTPUT ACCEPT [64866798:9322046772]
:REJECTWLOG - [0:0]
:REJECTWLOGFW - [0:0]
:anty_virus - [0:0]
:billing - [0:0]
:billing_out_forward - [0:0]
:billinginput - [0:0]
:billingout - [0:0]
:external_addres_pass - [0:0]
:forw_serv_stop - [0:0]
:forward_reject - [0:0]
:forward_stop - [0:0]
:internal_pass - [0:0]
:mac_filter - [0:0]
:spesial_ports_pass_from - [0:0]
:spesial_ports_pass_net - [0:0]
:spesial_ports_pass_to - [0:0]
:stop_chain - [0:0]
:stop_hosts - [0:0]
:stop_spam - [0:0]
:tcpaccept - [0:0]
:temp_pass - [0:0]
:udpaccept - [0:0]
-A INPUT -s 192.168.10.12 -j ACCEPT
-A INPUT -s 192.168.11.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.32.42 -p tcp -m tcp --dport 6666 -j DROP
-A INPUT -d 192.168.30.2 -p tcp -m tcp --dport 6666 -j DROP
-A INPUT -s 192.168.34.246 -p tcp -m tcp --dport 6666 -j DROP
-A INPUT -j stop_hosts
-A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.1.22 -j ACCEPT
-A INPUT -s 192.168.1.8 -j ACCEPT
-A INPUT -s 192.168.1.19 -j ACCEPT
-A INPUT -s 192.168.1.18 -j ACCEPT
-A INPUT -s 192.168.1.17 -j ACCEPT
-A INPUT -s 192.168.0.8 -j ACCEPT
-A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j billinginput
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p udp -j udpaccept
-A INPUT -p tcp -j tcpaccept
-A INPUT -j LOG --log-prefix "INPUT drop " --log-level 7
-A FORWARD -s 192.168.18.82 -j DROP
-A FORWARD -s 192.168.17.146 -j DROP
-A FORWARD -s 192.168.37.202 -j DROP
-A FORWARD -s 192.168.19.42 -j DROP
-A FORWARD -s 192.168.19.174 -j DROP
-A FORWARD -s 192.168.39.194 -j DROP
-A FORWARD -d 213.234.238.7 -j DROP
-A FORWARD -d 213.234.238.7 -j ACCEPT
-A FORWARD -s 213.234.238.7 -j ACCEPT
-A FORWARD -s 192.168.32.70 -j DROP
-A FORWARD -s 192.168.17.218
-A FORWARD -s 192.168.177.2 -j ACCEPT
-A FORWARD -d 87.242.72.58 -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.0/255.255.0.0 -j forw_serv_stop
-A FORWARD -s 192.168.0.0/255.255.0.0 -d ! 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 25 -j anty_virus
-A FORWARD -d 192.168.177.2 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j stop_spam
-A FORWARD -d ! 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix " smtp_syn " --log-level 7
-A FORWARD -d 192.168.0.0/255.255.0.0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -j ACCEPT
-A FORWARD -s 192.168.0.2 -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A FORWARD -j mac_filter
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.0/255.255.0.0 -j internal_pass
-A FORWARD -p tcp -m tcp --dport 6666 -j LOG --log-prefix "try ichat fork :" --log-level 7
-A FORWARD -j forward_stop
-A FORWARD -s 192.168.19.230 -d 64.4.23.29 -j DROP
-A FORWARD -s ! 192.168.0.0/255.255.0.0 -d ! 192.168.0.0/255.255.0.0 -j forward_reject
-A FORWARD -s 192.168.0.0/255.255.0.0 -d ! 192.168.0.0/255.255.0.0 -j stop_chain
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.0/255.255.0.0 -j internal_pass
-A FORWARD -s 192.168.13.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 192.168.0.2 -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -j ACCEPT
-A FORWARD -j billing_out_forward
-A FORWARD -j billing
-A FORWARD -j LOG --log-prefix "drop_forward " --log-level 7
-A FORWARD -s 192.168.1.101 -d 192.168.17.148/255.255.255.252 -j ACCEPT
-A FORWARD -s 192.168.17.148/255.255.255.252 -d 192.168.1.101 -j ACCEPT
-A FORWARD -s 89.108.66.15 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 89.189.137.149 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 89.175.39.2 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 88.81.234.230 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 209.191.88.247 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 219.254.211.233 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 194.204.239.145 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 65.54.246.227 -d 192.168.0.0/255.255.255.0 -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.27 -j ACCEPT
-A FORWARD -s 192.168.0.27 -d 192.168.0.0/255.255.0.0 -j ACCEP
-A FORWARD -d 216.195.61.65 -j DROP
-A OUTPUT -d 239.255.255.250 -j DROP
-A OUTPUT -d 207.44.230.3 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 110 -j billing
-A OUTPUT -d 192.168.0.2 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -d 192.168.0.15 -j ACCEPT
-A REJECTWLOG -j REJECT --reject-with icmp-port-unreachable
-A REJECTWLOGFW -j LOG --log-prefix "FW packet rejected " --log-level 7
-A REJECTWLOGFW -j REJECT --reject-with icmp-port-unreachable
-A anty_virus -s 192.168.43.46 -j RETURN
-A anty_virus -s 192.168.39.6 -j RETURN
-A anty_virus -s 192.168.41.22 -j RETURN
-A anty_virus -s 192.168.43.58 -j RETURN
-A anty_virus -s 192.168.37.234 -j RETURN
-A anty_virus -s 192.168.3.254 -j RETURN
-A anty_virus -s 192.168.38.214 -j RETURN
-A anty_virus -s 192.168.43.82 -j RETURN
-A anty_virus -s 192.168.43.110 -j RETURN
-A anty_virus -s 192.168.43.98 -j RETURN
-A anty_virus -s 192.168.18.90 -j RETURN
-A anty_virus -s 192.168.32.254 -j RETURN
-A anty_virus -s 192.168.39.202 -j RETURN
-A anty_virus -s 192.168.35.14 -j RETURN
-A anty_virus -s 192.168.41.134 -j RETURN
-A anty_virus -s 192.168.44.230 -j RETURN
-A anty_virus -s 192.168.43.142 -j RETURN
-A anty_virus -s 192.168.32.242 -j RETURN
-A anty_virus -s 192.168.35.42 -j RETURN
-A anty_virus -s 192.168.12.1 -j RETURN
-A anty_virus -s 192.168.12.3 -j RETURN
-A anty_virus -s 192.168.12.2 -j RETURN
-A anty_virus -s 192.168.37.218 -j RETURN
-A anty_virus -s 192.168.43.150 -j RETURN
-A anty_virus -s 192.168.255.0/255.255.255.0 -j RETURN
-A anty_virus -s 192.168.35.210 -j RETURN
-A anty_virus -p tcp -m tcp --dport 25 -j DROP
-A anty_virus -s 217.197.250.131 -j RETURN
-A billing -d 192.168.38.46 -j ACCEPT
-A billing -d 192.168.43.22 -j ACCEPT
-A billing -d 192.168.43.54 -j ACCEPT
-A billing -d 192.168.43.34 -j ACCEPT
-A billing -d 192.168.22.130 -j ACCEPT
-A billing -d 192.168.28.130 -j ACCEPT
-A billing -d 192.168.47.254 -j ACCEPT
-A billing -d 192.168.28.134 -j ACCEPT
-A billing -d 192.168.47.250 -j ACCEPT
-A billing -d 192.168.41.14 -j ACCEPT
-A billing -d 192.168.22.202 -j ACCEPT
-A billing -d 192.168.35.126 -j ACCEPT
-A billing -d 192.168.41.22 -j ACCEPT
-A billing -d 192.168.19.206 -j ACCEPT
-A billing -d 192.168.43.62 -j ACCEPT
-A billing -d 192.168.41.26 -j ACCEPT
-A billing -d 192.168.41.30 -j ACCEPT
-A billing -d 192.168.41.34 -j ACCEPT
-A billing -d 192.168.43.70 -j ACCEPT
-A billing -d 192.168.28.138 -j ACCEPT
-A billing -d 192.168.34.26 -j ACCEPT
-A billing -d 192.168.16.78 -j ACCEPT
-A billing -d 192.168.34.30 -j ACCEPT
-A billing -d 192.168.38.50 -j ACCEPT
-A billing -d 192.168.46.214 -j ACCEPT
-A billing -d 192.168.43.74 -j ACCEPT
-A billing -d 192.168.41.38 -j ACCEPT
-A billing -d 192.168.41.42 -j ACCEPT
-A billing -d 192.168.38.54 -j ACCEPT
-A billing -d 192.168.46.218 -j ACCEPT
-A billing -d 192.168.16.82 -j ACCEPT
-A billing -d 192.168.41.46 -j ACCEPT
-A billing -d 192.168.46.222 -j ACCEPT
-A billing -d 192.168.44.190 -j ACCEPT
-A billing -d 192.168.47.242 -j ACCEPT
-A billing -d 192.168.41.50 -j ACCEPT
-A billing -d 192.168.38.58 -j ACCEPT
-A billing -d 192.168.34.34 -j ACCEPT
-A billing -d 192.168.41.54 -j ACCEPT
-A billing -d 192.168.41.58 -j ACCEPT
-A billing -d 192.168.44.194 -j ACCEPT
-A billing -d 192.168.41.62 -j ACCEPT
-A billing -d 192.168.44.198 -j ACCEPT
-A billing -d 192.168.28.142 -j ACCEPT
-A billing -d 192.168.44.202 -j ACCEPT
-A billing -d 192.168.41.66 -j ACCEPT
-A billing -d 192.168.46.226 -j ACCEPT
-A billing -d 192.168.43.78 -j ACCEPT
-A billing -d 192.168.28.146 -j ACCEPT
-A billing -d 192.168.41.70 -j ACCEPT
-A billing -d 192.168.34.38 -j ACCEPT
-A billing -d 192.168.16.86 -j ACCEPT
-A billing -d 192.168.44.206 -j ACCEPT
-A billing -d 192.168.41.74 -j ACCEPT
-A billing -d 192.168.16.90 -j ACCEPT
-A billing -d 192.168.28.150 -j ACCEPT
-A billing -d 192.168.28.154 -j ACCEPT
-A billing -d 192.168.41.78 -j ACCEPT
-A billing -d 192.168.41.82 -j ACCEPT
-A billing -d 192.168.44.210 -j ACCEPT
-A billing -d 192.168.44.214 -j ACCEPT
-A billing -d 192.168.28.158 -j ACCEPT
-A billing -d 192.168.41.86 -j ACCEPT
-A billing -d 192.168.16.98 -j ACCEPT
-A billing -d 192.168.43.82 -j ACCEPT
-A billing -d 192.168.44.218 -j ACCEPT
-A billing -d 192.168.22.138 -j ACCEPT
-A billing -d 192.168.16.106 -j ACCEPT
-A billing -d 192.168.34.42 -j ACCEPT
-A billing -d 192.168.41.106 -j ACCEPT
-A billing -d 192.168.43.86 -j ACCEPT
-A billing -d 192.168.28.162 -j ACCEPT
-A billing -d 192.168.43.90 -j ACCEPT
-A billing -d 192.168.43.94 -j ACCEPT
-A billing -d 192.168.43.98 -j ACCEPT
-A billing -d 192.168.41.110 -j ACCEPT
-A billing -d 192.168.23.134 -j ACCEPT
-A billing -d 192.168.43.102 -j ACCEPT
-A billing -d 192.168.43.106 -j ACCEPT
-A billing -d 192.168.23.138 -j ACCEPT
-A billing -d 192.168.43.110 -j ACCEPT
-A billing -d 192.168.38.62 -j ACCEPT
-A billing -d 192.168.46.230 -j ACCEPT
-A billing -d 192.168.43.114 -j ACCEPT
-A billing -d 192.168.41.114 -j ACCEPT
-A billing -d 192.168.28.166 -j ACCEPT
-A billing -d 192.168.16.110 -j ACCEPT
-A billing -d 192.168.43.118 -j ACCEPT
-A billing -d 192.168.43.122 -j ACCEPT
-A billing -d 192.168.43.126 -j ACCEPT
-A billing -d 192.168.38.66 -j ACCEPT
-A billing -d 192.168.38.70 -j ACCEPT
-A billing -d 192.168.43.130 -j ACCEPT
-A billing -d 192.168.41.118 -j ACCEPT
-A billing -d 192.168.23.142 -j ACCEPT
-A billing -d 192.168.41.122 -j ACCEPT
-A billing -d 192.168.0.23 -j ACCEPT
-A billing -d 192.168.38.74 -j ACCEPT
-A billing -d 192.168.41.126 -j ACCEPT
-A billing -d 192.168.41.130 -j ACCEPT
-A billing -d 192.168.43.134 -j ACCEPT
-A billing_out_forward -s 213.234.238.6 -j ACCEPT
-A billing_out_forward -s 192.168.0.0/255.255.0.0 -j ACCEPT
-A billing_out_forward -s 213.234.238.5 -j ACCEPT
-A billinginput -s ! 192.168.0.0/255.255.0.0 -i eth1 -j LOG --log-prefix "input test **** " --log-level 7
-A billingout -d 192.168.1.2 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.0.2 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.34 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.35 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.36 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.17 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.22 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.37 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.13.58 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -d 192.168.14.69 -p tcp -m tcp --sport 110 -j ACCEPT
-A billingout -p tcp -m tcp --dport 110 -j ACCEPT
-A forw_serv_stop -p tcp -m tcp --dport 445 -j DROP
-A forw_serv_stop -p tcp -m tcp --dport 139 -j DROP
-A forward_reject -s 192.168.17.10 -d 192.168.0.0/255.255.0.0 -j REJECT --reject-with icmp-port-unreachable
-A forward_reject -s 192.168.0.0/255.255.0.0 -d 192.168.17.10 -j REJECT --reject-with icmp-port-unreachable
-A forward_reject -d 213.159.117.147 -j REJECT --reject-with icmp-port-unreachable
-A forward_reject -d 213.199.155.24 -j REJECT --reject-with icmp-port-unreachable
-A forward_reject -d 193.233.1.233 -j REJECT --reject-with icmp-port-unreachable
-A forward_reject -d 195.161.113.81 -j REJECT --reject-with icmp-port-unreachable
-A forward_stop -d 192.168.17.86 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
-A forward_stop -p udp -m udp --dport 445 -j DROP
-A forward_stop -p tcp -m tcp --dport 445 -j DROP
-A forward_stop -d 81.28.3.141 -j LOG --log-prefix "pn_try " --log-level 7
-A forward_stop -p tcp -m tcp --dport 135 -j DROP
-A forward_stop -d ! 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 137 -j DROP
-A forward_stop -s 192.168.0.0/255.255.0.0 -d 192.168.17.10 -j DROP
-A forward_stop -s 192.168.13.0/255.255.255.0 -d 192.168.13.0/255.255.255.0 -j ACCEPT
-A forward_stop -s 192.168.0.0/255.255.0.0 -d 192.168.13.0/255.255.255.0 -j DROP
-A internal_pass -s 192.168.1.101 -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A internal_pass -s 192.168.0.0/255.255.0.0 -d 192.168.1.101 -j ACCEPT
-A internal_pass -d 192.168.0.101 -j ACCEPT
-A internal_pass -s 192.168.0.101 -j ACCEPT
-A internal_pass -s 192.168.1.101 -j ACCEPT
-A internal_pass -s 192.168.2.150 -j ACCEPT
-A internal_pass -d 192.168.1.101 -j ACCEPT
-A internal_pass -d 192.168.2.150 -j ACCEPT
-A internal_pass -s 192.168.2.150 -j ACCEPT
-A internal_pass -p icmp -j ACCEPT
-A internal_pass -s ! 192.168.0.0/255.255.240.0 -d 192.168.0.0/255.255.240.0 -j DROP
-A internal_pass -s 192.168.0.0/255.255.240.0 -d ! 192.168.0.0/255.255.240.0 -j DROP
-A internal_pass -s 192.168.0.0/255.255.0.0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A internal_pass -s 213.234.238.0/255.255.255.240 -d 213.234.238.0/255.255.255.240 -j ACCEPT
-A internal_pass -s 213.234.238.0/255.255.255.240 -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A internal_pass -s 192.168.0.0/255.255.0.0 -d 213.234.238.0/255.255.255.240 -j ACCEPT
-A mac_filter -m mac --mac 00:40:F4:86:0A:-D6 -j DROP
-A mac_filter -m mac --mac 00:40:F4:76:EB:98 -j DROP
-A mac_filter -m mac --mac 00:02:44:91:FB:FC -j DROP
-A mac_filter -m mac --mac 00:11:2F:16:06:F7 -j DROP
-A mac_filter -m mac --mac 4C:00:10:75:2E:C7 -j DROP
-A spesial_ports_pass_from -m state --state ESTABLISHED -j ACCEPT
-A spesial_ports_pass_net -p udp -m udp --sport 8260 -j ACCEPT
-A spesial_ports_pass_net -p udp -m udp --dport 8260 -j ACCEPT
-A spesial_ports_pass_net -p tcp -m tcp --dport 8260 -j ACCEPT
-A spesial_ports_pass_net -p tcp -m tcp --sport 8260 -j ACCEPT
-A spesial_ports_pass_to -p icmp -j ACCEPT
-A spesial_ports_pass_to -p udp -m udp --dport 137:139 -j ACCEPT
-A spesial_ports_pass_to -p udp -m udp --sport 137:139 -j ACCEPT
-A spesial_ports_pass_to -p tcp -m tcp --sport 137:139 -j ACCEPT
-A spesial_ports_pass_to -p tcp -m tcp --dport 137:139 -j ACCEPT
-A stop_hosts -s 194.67.141.44 -j REJECTWLOG
-A stop_spam -s 192.168.37.130 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.19.194 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.38.202 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.16.190 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.34.242 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.19.166 -j DROP
-A stop_spam -s 192.168.18.182 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.22.222 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.39.246 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.39.254 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.38.254 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.39.230 -j REJECT --reject-with icmp-port-unreachable
-A stop_spam -s 192.168.35.246 -j REJECT --reject-with icmp-port-unreachable
-A tcpaccept -s 192.168.0.0/255.255.0.0 -j ACCEPT
-A tcpaccept -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A tcpaccept -s 192.168.177.0/255.255.255.0 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 22 -j ACCEPT
-A tcpaccept -s 192.168.177.0/255.255.255.0 -j ACCEPT
-A tcpaccept -s 192.168.255.0/255.255.255.240 -p tcp -m tcp --dport 23 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 6666:6667 -j ACCEPT
-A tcpaccept -s 213.234.246.148 -j ACCEPT
-A tcpaccept -s 213.234.246.148 -p tcp -m tcp --dport 148 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -p tcp -m tcp --sport 53 -j ACCEP
-A tcpaccept -p tcp -m tcp --dport 53 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 25 -j ACCEPT
-A tcpaccept -s 212.188.49.64/255.255.255.240 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -s 192.168.1.2 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 80 -j ACCEPT
-A tcpaccept -s 212.188.49.64/255.255.255.240 -p tcp -m tcp --dport 3128 -j ACCEPT
-A tcpaccept -s 192.168.13.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -s 192.168.14.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -s 192.168.15.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A tcpaccept -s 192.168.13.0/255.255.255.0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A tcpaccept -s 192.168.13.0/255.255.255.0 -p tcp -m tcp --dport 47 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 47 -j ACCEPT
-A tcpaccept -p tcp -m tcp --dport 1723 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 21 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 20 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 50000:60000 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 6670:6672 -j ACCEPT
-A tcpaccept -s 192.168.0.0/255.255.0.0 -p tcp -m multiport --dports 6660,6668,6669 -j ACCEPT
-A tcpaccept -s 192.168.0.2 -p tcp -m tcp --dport 22 -j ACCEPT
-A tcpaccept -s ! 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A tcpaccept -s 192.168.255.0/255.255.255.0 -j ACCEPT
-A tcpaccept -s 192.168.17.150 -p tcp -m tcp --dport 22 -j ACCEPT
-A udpaccept -s 213.234.246.148 -j ACCEPT
-A udpaccept -s 213.234.246.148 -p udp -m udp --dport 148 -j ACCEPT
-A udpaccept -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 1758 -j ACCEPT
-A udpaccept -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 69 -j ACCEPT
-A udpaccept -p udp -m udp --dport 53 -j ACCEPT
-A udpaccept -p udp -m udp --sport 53 -j ACCEPT
COMMIT
# Completed on Wed Jan 30 16:03:46 2008

** правила задаются из командной строки, например**
iptables -A tcpaccept -s 192.168.49.226/255.255.255.255 -p tcp -m tcp --dport 3389 -j ACCEPT <жму Enter>
iptables -A billing -d 192.168.47.106 -j ACCEPT <жму Enter>
iptables -A anty_virus -s 192.168.41.22 -j RETURN **после ввода вот этого, у юзера начинает работать исходящая почта **

[root@ns root]# iptables -L -n | grep 41.22
RETURN all -- 192.168.41.22 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.41.22
ACCEPT all -- 0.0.0.0/0 192.168.41.222
ACCEPT all -- 0.0.0.0/0 192.168.41.226
из этих трех ip только один может отправлять почту - 41.22
Re: доступ к интернет по mac-address 09.02.2008 00:55Tom Darv to Beduin:
Есть неплохая статья [gazette.linux.ru.net]

Читая форумы, я понимаю, что весьма много народу использовали её для построения своих систем.

В этой статье, думаю, для реализации сабжа пригодится место
[gazette.linux.ru.net]

ИМХО
Re: доступ к интернет по mac-address 09.02.2008 03:40sharp хм.... так вроде ж все настроено
это так сказать список забаненных mac:
---
-A mac_filter -m mac --mac 00:40:F4:86:0A:-D6 -j DROP
-A mac_filter -m mac --mac 00:40:F4:76:EB:98 -j DROP
-A mac_filter -m mac --mac 00:02:44:91:FB:FC -j DROP
-A mac_filter -m mac --mac 00:11:2F:16:06:F7 -j DROP
-A mac_filter -m mac --mac 4C:00:10:75:2E:C7 -j DROP
---
а это само правило:
---
-A FORWARD -j mac_filter
---
Или это не работает?
Re: доступ к интернет по mac-address 09.02.2008 13:06beduin sharp писал(а):
> хм.... так вроде ж все настроено
> это так сказать список забаненных mac:
> ---
> -A mac_filter -m mac --mac 00:40:F4:86:0A:-D6 -j DROP
> -A mac_filter -m mac --mac 00:40:F4:76:EB:98 -j DROP
> -A mac_filter -m mac --mac 00:02:44:91:FB:FC -j DROP
> -A mac_filter -m mac --mac 00:11:2F:16:06:F7 -j DROP
> -A mac_filter -m mac --mac 4C:00:10:75:2E:C7 -j DROP
> ---
> а это само правило:
> ---
> -A FORWARD -j mac_filter
> ---
> Или это не работает?
работает, но мне непонятны такие вещи как эта:
iptables -A anty_virus -s 192.168.41.22 -j RETURN
почему после этй команды начинает работать исходящая почта если к этому правилу в iptables можно найти только- :anty_virus - [0:0]. Как оно узнает порт?

to Tom Darv
эти статьи я обязательно посмотрю, но беда в том, что к сети подключено более 700 компов и ежедневно добавляется по 2-3 штуки.
Поэтому мне удобнее всего разобраться с тем, что я уже имею.
Re: доступ к интернет по mac-address 09.02.2008 18:58Bircoph > Как оно узнает порт?

Никак. Просто дальше в конце цепочки стоит правило:
---
-A anty_virus -p tcp -m tcp --dport 25 -j DROP
---
Т.о. для всех машин, для которых не был выполнен выход из
цепочки anty_virus (-j RETURN) выполняется блокировка 25 tcp
порта, т.е. smtp.

Почитайте iptables-tutorial что ли, это тривиальные вещи.

Да, и ещё уберите реальные внешние ip из ваших цепочек.
Правила далеко не самые надёжные и вас можно поломать, если
ещё не поломали.
Re: доступ к интернет по mac-address 09.02.2008 23:21sharp порт определяется еще и здесь
---
-A FORWARD -s 192.168.0.0/255.255.0.0 -d ! 192.168.0.0/255.255.0.0 -p tcp
-m tcp --dport 25 -j anty_virus
---
т.е. все пакеты от 192.168.0.0/255.255.0.0, проходящие транзитом(FORWARD), с портом назначения 25 отправлять в цепочку anty_virus. Далее, если пакет не вернется из anty_virus, он будет отброшен, а правилом
---
-A anty_virus -s 192.168.41.22 -j RETURN
---
вы как раз и добавляете IP 192.168.41.22 в "белый список", т.е. он вернется из anti_virus.

Кстати этот IP еще фигурирует в цепочке billing, ток я чего-то никак не соображу, влияет ли это на отправку почты, принцип биллинга бы знать...
Re: доступ к интернет по mac-address 10.02.2008 12:59beduin Bircoph писал(а):
> Да, и ещё уберите реальные внешние ip из ваших цепочек.
> Правила далеко не самые надёжные и вас можно поломать, если
> ещё не поломали.
>

эти ip у нас давно уже неработают, их вернули провайдеру, а реальные ip в этой таблице отсутствуют.
RSS-материал