Re: iptables (bloccare tutto specificando mac address)
Il giorno Mar 13 Mar 2012 15:57:43 CET, Pol Hallen ha scritto:
> L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso
> internet), acconsentire quello della lan in ogni caso.
> Permettere (specificando mac address) i client desiderati
Non capisco questo punto: che differenza c'è tra i client e la lan?
> sorry per la notifica di lettura (disattivata)
No problem.
> Io metterei:
> iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY
> poi le autorizzazioni by mac address
> che dici?
> PS: questa regola però mi blocca anche il traffico lan, no?
> Pol
Sì in FORWARD ti blocca sicuramente (e considera che è DROP, non DENY).
Io generalmente per le chain INPUT e FORWARD metto la policy di default
a DROP e poi dichiaro i vari override.
Per intenderci, la cosa più minimale:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
così non passa nulla. E da qui aggiungi gli override, per esempio:
iptables -A FORWARD -i $IFLAN -p tcp -m multiport --dports 22 -m state
--state NEW -j ACCEPT
e abiliti l'ssh dall'interno della lan all'esterno ($IFLAN è
l'interfaccia affacciata sulla LAN).
--
RaSca
Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene!
rasca@miamammausalinux.org
http://www.miamammausalinux.org
Reply to: