Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: Как да огранича по MAC адрес или по IP?

  • Subject: Re: lug-bg: Как да огранича по MAC адрес или по IP?
  • From: Ilia Lindov <lists@xxxxxxxxxxxxxx>
  • Date: Sat, 02 Oct 2004 12:20:44 +0000
  • Organization: InfoMAT Ltd.
atlas wrote:

Здравейте група,

Здравей,

Имам Linux машина (Slakware v.10), която е вързана към Internet чрез PPP0.
Освен това има и мрежов адаптер ETH0, чрез който подава Internet към
вътрешната ми мрежа (192.168.1.0/24).
Въпроса ми е, как да огранича достъпа до машината през PPP0 да става само
през конкретен MAC адрес или конкретно IP? Идеята ми е да командвам Linux
машината през Internet примерно чрез SSH порт 22, но не искам да ограничавам
по порт (iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP)

Въобще каква е връзката между това да управляваш през едикой си порт и
после да ограничаваш...  Тук нещо не ми е ясно... искаш да имаш достъп
до компютъра  от някой друг компютър от интернет или от локалната мрежа?
Ако е от локалната мрежа може да стане по МАС адрес, но от интернет,
мисля че е възможно да го направиш само по IР, защото МАС адресите си
имат значение само в конкрения мрежов сегмент (даже пък при PPP за какви
МАС адреси става дума?!)

Според мен можеш да решиш проблема по следния начин:
Ако IP адреса на твоя компютър (който ще управляваш)е 111.222.333.444, а
IР адреса на
компютъра, ОТ който ще го управляващ(конфигурираш) е 555.666.777.888...

iptables -P INPUT DROP
	# пускаш всичко от локалната мрежа
iptables -A INPUT -i eth0 -j ACCEPT
	# разрешаваш връзки от интернет само от IР адрес 555.666.777.888 	# и
само на порт 22
iptables -A INPUT -p tcp -i ppp0 -s 555.666.777.888 --dport 22 -j ACCEPT

Тук трябва да решиш как ще организираш OUTPUT веригата.
Единия вариант, който е най-елементарния и най-несигурния е просто в
началото на скрипта да имаш:
iptables -P OUTPUT ACCEPT
но както споменах този вариант не е особено удачен от глредна точка на
сигурността, защото ако по някакъв начин е компрометирана сигурността на
машината и по някъкъв начин кракер може да изпълнява команди на
машината, то той би могъл много лесно да отвори изходяща връзка от твоя
компютър.
Втория вариант е:
iptables -P OUTPUT DROP
iptables -A OUTPUT -p tcp -o ppp0 -d 555.666.777.888 --sport 22 -j ACCEPT

Надявам се, че съм разбрал правилно въпроса и съм успял, поне малко, да
помогна! :) Успех!

Поздрави: Илия Линдов


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

 
наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.