Le Mon, 21 Aug 2006 19:59:11 +0200, giggz a voulu dire : > Bonsoir la liste, > > j'ai un serveur derrière un routeur. mon routeur autorise le service ssh > pour l'extérieur (une seule adresse ip autorisée) et le redirige bien > vers mon serveur. Si je ne mets pas de règle de filtrage d'adresse MAC > pour iptables tt fonctionne parfaitement, je peux me connecter de > l'extérieur. Je décide de devenir parano et j'instaure le filtrage sur > l'adresse mac : seuls sont autorisés à pénétrer par le port 22 sur mon > serveur : mon portable (qui est lui aussi branché à mon routeur) et un > pc de l'extérieur (à mon boulot). Je récupère les adresses MAC via > ifconfig et je mets ces règles là : > iptables -A INPUT -p tcp --dport 22 -m mac --mac-source > ??:??:??:??:??:?? -j ACCEPT > > mon portable se connecte ss pb au serveur ms par contre le pc extérieur > se voit refuser la connection...pourquoi??? > > si vous avez la réponse à mon tit pb, ben n'hésitez pas! > Parce que l'adresse MAC n'est disponible que sur le réseau Ethernet. Donc il ne t'est pas possible de filtrer sur une adresse MAC distante comme tu souhaites le faire (on peut filtrer sur les adresses MAC locales). Les paquets (Internet) qui transitent par ton modem/routeur à destination du réseau local auront dans leur entête l'adresse MAC de l'interface Ethernet de ton routeur. Extrait du man : "--mac-source [!] adresse Établit une correspondance avec l'adresse MAC source. Elle doit être de la forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que pour les paquets en provenance d'une interface Ethernet et passant par les chaînes PREROUTING, FORWARD ou INPUT" Un bon tutoriel http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/howtoread.html --
Attachment:
pgpMaeazmUhQJ.pgp
Description: PGP signature