--mac-source

0

0

нужно одну машинку машинку выпустить в инет через нат с условием, чтоб избежать подмены IP. делаю:

-A POSTROUTING -s 192.168.7.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.100.2

-A INPUT -s 192.168.7.248 -i eth1 -m mac --mac-source 00:0C:F1:C3:E8:6E -j ACCEPT -A INPUT -s 192.168.7.248 -i eth1 -j REJECT

( ^^^^ это правило перед всеми разрешающими)

-A FORWARD -s 192.168.7.248 -i eth1 -o eth0 -j ACCEPT -A FORWARD -d 192.168.7.248 -i eth0 -o eth1 -j ACCEPT

-A OUTPUT -s 192.168.5.2 -d 192.168.8.248 -o eth1 -j ACCEPT

беру машину с другим маком, ставлю тот же IP - машина спокойно выходит в инет.

меняю правило -A FORWARD -s 192.168.7.248 -i eth1 -o eth0 -m mac --mac-source 00:0C:F1:C3:E8:6E -j ACCEPT

пинги и трасеровка с машинки бегают, а вот из браузера в инет уже не получается. Задумывается навсегда

Что я делаю не так?

Ссылка

←	борьба со спамом

Борьба с паденим Squid

→

ip n a XXX.XXX.XXX.XXX lladdr 00:0C:F1:C3:E8:6E nud permanent dev DEVX

XXX.XXX.XXX.XXX - айпишник кторый хочешь привязать к маку
DEVX - интерфейс на котором собственно подсеть

anonymous
(08.06.07 10:48:43 MSD)

Ответ на: комментарий от anonymous 08.06.07 10:48:43 MSD

дошло что делаю не так. Надо не

-A INPUT -s 192.168.7.248 -i eth1 -m mac --mac-source 00:0C:F1:C3:E8:6E -j ACCEPT

а так

-A INPUT -s 192.168.7.248 -i eth1 -m mac --mac-source ! 00:0C:F1:C3:E8:6E -j DROP

> ip n a XXX.XXX.XXX.XXX lladdr 00:0C:F1:C3:E8:6E nud permanent dev DEVX

это для какого файрвола??

deys ★★★
(08.06.07 11:22:04 MSD) автор топика

^-)))))

ты посмотри таблицу прохождения цепочек. При чём тут INPUT ???? :-)

Anoxemian ★★★★★
(08.06.07 11:23:01 MSD)

Ссылка

Ответ на: комментарий от deys 08.06.07 11:22:04 MSD

это не для файрволла, это для работы. привязка айпишника к мак адресу, в конкретном случае осуществляется силами пакета iproute2

anonymous
(08.06.07 11:27:31 MSD)

Ссылка

Ответ на: комментарий от deys 08.06.07 11:22:04 MSD

-A INPUT -s 192.168.7.248 -i eth1 -m mac --mac-source ! 00:0C:F1:C3:E8:6E -j DROP

Это правило будет дропать все пакеты направленные от 192.168.7.248 к ТВОЕМУ роутеру, но не форвардящиея, если таковые есть.

ПС. и вообще в iptables почти все делается на FORWARD, если только не настраиваешь файр на локальной тачки.

anonymous
(08.06.07 11:31:08 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	борьба со спамом

Admin

Борьба с паденим Squid

→

Похожие темы