| Citera för svar! | Gilla bra inlägg! |
MAC-filter med iptables på "annat" interface/vlan
Har en fråga kring iptables och vlan (tror jag...)
Kör en Asus N56U-router med Padavan firmware och vill få till att en dator i mitt hem-nätverk är helt avskild från de övriga och sitter på ett eget nät med endast internetanslutning. Tanken var att sonen skulle få härja fritt på den utan att riskera att ev. virus skall kunna attackera andra enheter som är kopplade till routern.
Hittade den här sidan och fick det att funka som jag ville:
https://freeandthings.wordpress.com/2015/06/19/dmz-setup-with...
Dock har jag problem med MAC-filtreringen, jag kör med en white-list i routern som funkar på vanliga WiFi:t men problemet är att trafiken från det separerade nätverket slinker igenom trots att datorn inte finns med i white-list:en.
Är själv inget vidare på iptables så tar tacksamt emot tips.
Hur kopplar du efter din router?
Hur kopplar du efter din router?
PC:n som jag vill isolera sitter direkt in i LAN1-porten som i sin tur blir interface eth3.3 i routern.
Målet är en DMZ-setup med så stark separation som möjligt mellan datorn på DMZ (192.168.2.0/24) och övriga datorer (192.168.1.0/24) som är kopplade till routern via LAN-portarna 2, 3 och 4 samt via WiFi.
Routern har interface enl. följande:
/home/root # ifconfig
br0 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
...
eth2 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
eth3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:81.234.156.132 Bcast:81.234.156.255 Mask:255.255.255.128
...
eth3.3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
...
Sen har jag följande i brandväggen (som jag inte riktigt har full koll på betydelsen av):
wan_ip=$(/sbin/ifconfig eth3) ; wan_ip=${wan_ip/*inet addr:/} wan_ip=${wan_ip/ */}
iptables -I INPUT -i eth3.3 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth3 -j SNAT --to $wan_ip
iptables -A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT
Men sen kan jag inte blockera/tillåta MAC-adresser på DMZ med
iptables -A maclist -m mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
Allt slinker igenom oavsett mac-filtrering. Har även testat med "-i eth3.3" på reglerna.
PC:n som jag vill isolera sitter direkt in i LAN1-porten som i sin tur blir interface eth3.3 i routern.
Målet är en DMZ-setup med så stark separation som möjligt mellan datorn på DMZ (192.168.2.0/24) och övriga datorer (192.168.1.0/24) som är kopplade till routern via LAN-portarna 2, 3 och 4 samt via WiFi.
Routern har interface enl. följande:
/home/root # ifconfig
br0 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
...
eth2 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
eth3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:81.234.156.132 Bcast:81.234.156.255 Mask:255.255.255.128
...
eth3.3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
...
Sen har jag följande i brandväggen (som jag inte riktigt har full koll på betydelsen av):
wan_ip=$(/sbin/ifconfig eth3) ; wan_ip=${wan_ip/*inet addr:/} wan_ip=${wan_ip/ */}
iptables -I INPUT -i eth3.3 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth3 -j SNAT --to $wan_ip
iptables -A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT
Men sen kan jag inte blockera/tillåta MAC-adresser på DMZ med
iptables -A maclist -m mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN
Allt slinker igenom oavsett mac-filtrering. Har även testat med "-i eth3.3" på reglerna.
Vad har du som default på FORWARD?
| Citera för svar! | Gilla bra inlägg! |
Vad har du som default på FORWARD?
Här nånstans är väl min inkompetensnivå vad gäller iptables, men skickar med nedanstående så kanske du kan få fram det du frågade efter...
Funderar på raderna:
-A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT
Vad händer om man byter ut ACCEPT mot maclist?
/ # iptables -L | grep policy
Chain INPUT (policy DROP)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)
/ # iptables --list-rules
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N bfplimit
-N maclist
-N upnp
-N vpnlist
-A INPUT -i eth3.3 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -m icmp ! --icmp-type 8 -j ACCEPT
-A FORWARD -i br0 -j maclist
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -d 192.168.2.100/32 -p tcp -m tcp --dport xxx:yyy -j ACCEPT
[Ett gäng port-forward-rader för samma IP kommer här...]
[...]
-A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT
-A maclist -m mac --mac-source 68:5D:43:F6:70:07 -j RETURN
-A maclist -m mac --mac-source 00:18:F8:D2:9C:E5 -j RETURN
-A maclist -m mac --mac-source 2C:AE:2B:46:FE:B4 -j RETURN
-A maclist -m mac --mac-source 68:FB:7E:BA:05:36 -j RETURN
-A maclist -m mac --mac-source 30:10:B3:A1:A9:DB -m time --timestart 08:00:00 --timestop 23:59:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source A0:AF:BD:AC:65:8E -j RETURN
-A maclist -m mac --mac-source F4:F5:D8:7C:0C:96 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source 00:23:31:D5:21:5E -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source D0:17:C2:D5:6F:81 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source 74:1B:B2:64:21:3B -j RETURN
-A maclist -m mac --mac-source D8:C4:E9:C0:E8:01 -j RETURN
-A maclist -m mac --mac-source 00:0F:FE:96:05:8C -j RETURN
-A maclist -m mac --mac-source C8:69:CD:3A:E2:58 -m time --timestart 11:00:00 --timestop 23:59:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source DC:4A:3E:1B:E6:8A -j RETURN
-A maclist -m mac --mac-source 68:C4:4D:38:2A:07 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source B8:BB:AF:2C:DF:7E -m time --timestart 11:00:00 --timestop 21:00:00 --weekdays Mon,Tue,Wed,Thu,Sun --kerneltz -j RETURN
-A maclist -m mac --mac-source B8:BB:AF:2C:DF:7E -m time --timestart 11:00:00 --timestop 22:35:00 --weekdays Fri,Sat --kerneltz -j RETURN
-A maclist -j DROP
Testa att lägga denna regel sist
-A FORWARD -i br0 -j ACCEPT
Jag vet inte om trafiken smiter över här.
EDIT:
Du tycks sakna en rad
-A FORWARD -i eth3.3 -j REJECT
| Citera för svar! | Gilla bra inlägg! |
- Igår AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna? 11
- Igår Testpilot: MSI MPG 271QRX - Färgsprakande OLED i 360 Hz 13
- 23 / 4 Meta öppnar upp Quests OS – vill bli VR-världens Android 12
- 23 / 4 Googles nästa Chromecast får dubblerad lagring 74
- 23 / 4 EK Water Blocks lovar bot och bättring 16
- Veckans fråga: Hur mycket lagringsutrymme har din dator?85
- Systembolaget varnar: Dryckesbrist efter hackerattack62
- EU röstar igenom ”rätten att reparera”7
- Vad lyssnar du på just nu?13885
- Ubuntu 24.04 LTS7
- Simulator - hjälp/tips på bildförskjutning sökes12
- MC - förstahoj, körkort och utrustning [Samlingstråd]3035
- Problem med muspekare1
- Gamingskärm - ultrawide eller inte?20
- Posta din hastighet!2437
- Köpes i7 12th 13 14 gen
- Säljes 64 Gig DDR5 2x32Gig, 6000MT/s CL36-38-38 1.35V EXPO/XMP
- Säljes Gamingdator I9-13900KF - 7800 XT - Z690 - DDR5 32GB - Define 7
- Säljes T700 2TB M2 SSD. Lian Li Strimer 24pin. Vertical mount
- Säljes Dell Poweredge R330
- Bytes 3070 MSI Suprim X mot Strix
- Säljes Sapphire pulse 6700xt
- Säljes XPS 9370
- Säljes Gigabyte GeForce RTX 4080 16GB GAMING OC
- Säljes Gamingtillbehör - HyperX, Logitech
- EU röstar igenom ”rätten att reparera”7
- Viaplay sätter ner foten mot delade konton35
- AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna?11
- Systembolaget varnar: Dryckesbrist efter hackerattack62
- Veckans fråga: Hur mycket lagringsutrymme har din dator?85
- Valve täpper till kryphål i Steam-återbetalningar18
- Testpilot: MSI MPG 271QRX - Färgsprakande OLED i 360 Hz13
- Google skjuter på utfasning av tredjepartskakor till 202516
- Skadlig kod sprids via lömska Github-länkar13
- Microsoft blockerar äldre processorer i Windows 11 24H236