SKFREE

StarOS™ Scripts&Software - IP vs MAC filtering na StarOS

Mich(at)l - 08.12.2005 - 19:58
Post subject: IP vs MAC filtering na StarOS
toto ma napadlo na podnet topicu http://www.skfree.net/modules.php?op=mo ... amp;t=1136

ale kedze mam pocit ze tam spominane scripty by na starOS nefungovali, tak zakladam pre StarOS vlastny thread.

jednoducho mi ide o presne to iste ako je uz v hore spominanom topicu, len z rodielom aby mi to slapalo na StarOS.
cobain - 09.12.2005 - 11:52
Post subject: IP vs MAC filtering na StarOS
Spravne!
V STAROS-e sa mi to vidi trosku ine.
a neviem sa s toho vymotat. vzdy niekde zabludim

PS mozno sa vratim k tomu furiku
mgx - 09.12.2005 - 14:49
Post subject: netreba
staci citat manual Smile

IPvsMAC filter v StarOS nahradzuje HOTSPOT alebo eeZee feature.
Viac info je v manuale...


Rozšírené možnosti HOTSPOTu

Hotspot umožnuje použiť prístupový zoznam povolených IP adries serverov aj klientov. Prístupový zoznam IP adries klientov definuje zoznam povolených IP adries, ktoré môžu používatelia HOTSPOTu navštíviť.
Zoznam klientov definuje MAC adresy klientov, ktorí budú mať prístup na INTERNET aj bez akejkoľvek autentifikácie a authorizácie menom a heslom na webovej prístupovej stránke.
mgx - 09.12.2005 - 14:53
Post subject:
pripadne do firewallu mozete zadat

iptables -A INPUT -m mac --mac-source 00:01:02:03:04:05 -i eth0 -j ACCEPT

podobne staci pravidlo upravit aka priklad hore Smile
Chalan - 09.12.2005 - 16:30
Post subject:
lenze v staros plati pravidlo co nieje zakazane je povolene, netreba najprv. vsetko zakazat? ak ano ako? a okrem toho ako zviazat mac s ip?
Mich(at)l - 10.12.2005 - 00:47
Post subject:
Chalan: veru... veru...
mgx - 10.12.2005 - 06:10
Post subject:
chlapci, presne rovnako ako v inom firewalle Smile


iptables -A INPUT -m mac --mac-source 00:01:02:03:04:05 -p tcp -s 192.168.1.x -i eth0 -j ACCEPT
....
deny all from 192.168.1.0/24 to any out via $wan # Block LAN Outbound
Mich(at)l - 10.12.2005 - 14:18
Post subject:
mgx: to co je v tom manuale to som cital ale mi to nevyhovovalo...resp. by som skor povedal ze som mozno tomu aj spravne nepochopil---trochu som sa v tom zamotal...

a co sa tyka scriptov... tak mal som fakt pocit ze tie konfiguraky su v niektorich pripadok ine... ako normalne... OK tak diki moc...
andreas4all - 10.12.2005 - 22:47
Post subject:
tak som zadal do StarOS. ak som to spravne pochopil... pridal som do firewall konkretne toto:
iptables -A INPUT -i ether2 -s xxx.xxx.xxx.xxx -m mac --mac-source 00-00-00-00-00-00 -j ACCEPT
lenze funguje tak ci tak...
Mich(at)l - 11.12.2005 - 02:54
Post subject:
a prepinac -p tcp
si kde nechal???

resp. tento riadok tam tiez mas?

deny all from 192.168.1.0/24 to any out via $ether1
fixi - 11.12.2005 - 09:57
Post subject:
-p tcp sluzi ked chces dane pravidlo uplatnit len na TCP spojenia, ked tam nedas nic tak pravidlo "sada" na vsetky [tcp,udp,icmp...] spojenia...
Chalan - 11.12.2005 - 11:26
Post subject:
ale ako som vravel fw na staros ma princip co nieje zakazane je povolene a toto treba zmenit prikazom

deny all from 192.168.1.0/24 to any out via $ether1

pripadne ako zakazem uplne vsetko? nielen siet 192.168.1.0/24 diki...
Mich(at)l - 11.12.2005 - 11:45
Post subject:
Chalan:
IMHO

deny all from any to any out via $ether1

fixi:
aha ja som to tam trochu inak chapal...
si - 11.12.2005 - 12:22
Post subject:
a nieco taketo by sa tam napchat nedalo:
iptables -P FORWARD DROP
?
Mich(at)l - 11.12.2005 - 13:25
Post subject:
si:

ma to nejaku vyhodu...(rychlejsie to spracuje)...alebo je to jedno a mozme si vybrat co je simpatickejsie...
andreas4all - 12.12.2005 - 14:06
Post subject:
poradte mi co robim zle...
deny all from any to any out via $net //zakaze uplne vsetko, skusal som aj deny all from 192.168.0.0/24 ale vysledok rovnaky
iptables -A INPUT -m mac --mac-source 01-23-45-67-89-0A -s 192.168.0.1 -i ether1 -j ACCEPT // mac som skusal aj s : ale to iste.

ak to ulozim a aplikujem, mam uplny zakaz, ale podla toho co ste tu povedali hore by mala byt tato ip adresa opravnena na pristup do inetu.
si - 12.12.2005 - 14:23
Post subject:
najprv musis dat accept a az potom na zaver deny (teda tak to musi vyzerat vo vyslednej tabulke a kedze to davas cez -A tak vzdy pridavas nakoniec, tak aj v tom zapise to musis mat v takom poradit...)
lebo ako iste vies, aplikuje sa prve pravidlo ktore matchne Smile
Chalan - 12.12.2005 - 17:39
Post subject:
cize takto?
#povolime mac a zviazeme s ip
iptables -A INPUT -m mac --mac-source 01:23:45:67:89:0A -s 192.168.0.1 -i ether1 -j ACCEPT
#zakazeme vsetko ostatne
deny all from any to any out via $net

je to tak spravne?
si - 12.12.2005 - 23:39
Post subject:
ak to deny ide cez -A tak ano
andreas4all - 19.12.2005 - 12:23
Post subject:
bud som blby alebo to neviem, presne podla tohto a stale mam zakazany net po tomto vsetkom. ten iptables nejako nefunguje.

to deny funguje perfektne...
mgx - 19.12.2005 - 12:27
Post subject:
nezabudni po zmene restartovat AP Smile
andreas4all - 19.12.2005 - 12:30
Post subject:
tak to je samozrejmostou...
iwik - 19.12.2005 - 13:00
Post subject:
star os som sice videl len 5min...

v tom iptables povolujes -A INPUT, tj pristup na ten stroj (na ten star os)
a ty potrebujes povolit aj FORWARD
andreas4all - 19.12.2005 - 13:54
Post subject:
iptables -A FORWARD -s 192.168.0.1 -j ACCEPT #tak toto mi funguje, akonahle tam pridam porovnavanie s MAC tak to neprejde a uplatni sa deny all.... nasiel som tu ze MAC treba zadavat s ::, to mam.
ak spravne chapem tak prepinac -m je vlastne match(ze co sa ma rovnat) MAC --mac-source 00:00:00:00:00:00.
teraz to je vlastne tak, ze su povolene len niektore IP smerom von, ale nezavisle na MAC. Cize ak niekto si da takuto IP tak ma inet.
iwik - 19.12.2005 - 14:08
Post subject:
hore spominas
iptables -A INPUT -m mac --mac-source 01-23-45-67-89-0A -s 192.168.0.1 -i ether1 -j ACCEPT

a takisto by malo byt ok
iptables -A FORWARD -m mac --mac-source 01-23-45-67-89-0A -s 192.168.0.1 -i ether1 -j ACCEPT

(akurat pozeram ze na linuxe sa mac dava v tvare 01:23:45:67:89:0A)
andreas4all - 19.12.2005 - 14:45
Post subject:
dik funguje to. vysledny tvar:

iptables -A FORWARD -S ip_adresa -m mac --mac-source MM:AA:CC:MM:AA:CC -j ACCEPT
deny all from any to any via $net #net je premanna na adapter do inetu.

este raz vdaka.
Mich(at)l - 19.12.2005 - 19:18
Post subject:
Ok takze kde bola teda cely cas chyba... nejako mi to nedochadza...
len mac bola v zlom tvare?

a este taka otazka... nebolo by dobre dat tam aj ze cez aky interfejs to ma ist... napr. -i $net

PS: nema to byt nahodou ze ... FORWARD -s ...
lebo ty mas -S
Chalan - 02.01.2006 - 16:36
Post subject:
andreas4all wrote: ›dik funguje to. vysledny tvar:

iptables -A FORWARD -S ip_adresa -m mac --mac-source MM:AA:CC:MM:AA:CC -j ACCEPT
deny all from any to any via $net #net je premanna na adapter do inetu.

este raz vdaka.
mas tam chybu ma to byt

deny all from any to any out via $net
andreas4all - 02.01.2006 - 16:51
Post subject:
nie je to chyba. deny all prom any to any via $net znemena ze aj dnu aj von.
Chalan - 02.01.2006 - 17:00
Post subject:
andreas4all wrote: ›nie je to chyba. deny all prom any to any via $net znemena ze aj dnu aj von.
no daj si syntax check a uvidis, mne to hadze chybu bez to out...
andreas4all - 02.01.2006 - 17:25
Post subject:
sorry, ospravedlnujem sa. asi sa stala chyba pri prepise na stranku. v StarOS mam out. este raz sorry. pomylil som sa v tom in/out. myli sa mi to s tym, ze ked nepouzijes $net/$client ze to zablokuje vsetko.

a este:

to smerovanie ako povedal Mich(at)l. ako to presmerovat povedzme na $client a ako presmerovat na inu IP adresu. povedzme ze ked chcem vyuzit viacej liniek. dik
mgx - 03.01.2006 - 08:33
Post subject: pravidla
gentlemens, 1 thread = 1 tema. ak mate dalsiu otazku MIMO danej temy,
zalozte novy thread.

dakujem
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits