пост нечитаем

^^^^

Здравствуйте.

Имеется роутер на asplinux 9.2. на нем два физических интрефейса, eth0 - интернет, eth1 локальная сеть. На eth1 много виланов. нужно запретить транзитный трафик с определенного mac-адреса в интернет и в локальную сеть.

iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

работает только в плане трафика между eth0 и eth1, то есть из локальной сети в интернет, внутри локальной сети между виланами не работает.

tcpdump-ом входящие/исходящие пакеты этой машины прекрасно видны. если логировать эту машину по IP-адресу -

iptables -I FORWARD -d XX.XX.XX.XX -j LOG --log-prefix «TEST »

лог выглядит таким образом (почему то нет mac-адреса)-

Jan 27 8:57:12 asp kernel: TEST IN=eth1 OUT=eth1.20 SRC=YY.YY.YY.YY DST=XX.XX.XX.XX LEN=84 TOS=0x00 PREC=0x00 TTL=126 ID=32901 PROTO=ICMP TYPE=0 CODE=0 ID=1135 SEQ=3191

по IP-адресу пакеты дропаются. в цепочке INPUT все работает. всякие ухищрения с mark тоже не работают с mac-адресом. PREROUTING ведет себя так же.

ядро 2.4.22 iptables v1.4.10

заранее спасибо за ответ.

Возможно, это проблема старого ядра + окружения. Можете попробовать на чём-нибудь по-свежее?

> eth0 - интернет, eth1 локальная сеть

TEST IN=eth1 OUT=eth1.20

Непонел.

eth1.20 это один из виланов.

Это я понял. Я не понял, почему по условию eth0 <=> eth1, а предъявленная неработа — eth1 <=> eth1.20.

сорри, наверное не внятно написал. eth0 и eth1 это просто описание роутера, а условие -

нужно запретить транзитный трафик с определенного mac-адреса в интернет и в локальную сеть(то есть между всеми виланами на eth1)

может, как вариант, host.deny ?

Ну в интернет вы уже запретили, осталось что? В «локальную сеть»? В какой влан, поконкретней.

ip l

в eth1.20

ip l

1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc cbq qlen 1000 link/ether 00:02:b3:af:fc:9c brd ff:ff:ff:ff:ff:ff

3: eth1: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc cbq qlen 1000 link/ether 00:02:b3:af:fc:4b brd ff:ff:ff:ff:ff:ff

4: eth1.2: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc noqueue link/ether 00:02:b3:af:fc:4b brd ff:ff:ff:ff:ff:ff

5: eth1.10: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc noop link/ether 00:02:b3:af:fc:4b brd ff:ff:ff:ff:ff:ff

6: eth1.20: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc noqueue link/ether 00:02:b3:af:fc:4b brd ff:ff:ff:ff:ff:ff

iptables -I FORWARD -i eth1 -o eth1.20 -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

результат тот же, пакеты не дропаются. по ip-адресу дропаются.

попробуй это сделать через ebtables

если вланы реализованы на умных свичах, то гораздо проще забанить мак на порту.

Для маков есть ebtables
А так, надо отказаться от использования VLAN1 :) и тада все будет пучком :)

ebtables по некоторым соображениям не подходит. а при отказе от vlan1 все тоже самое.

ps. это уже на ядре 2.6.26-2-686, iptables v1.4.2