lug-bg: Re: lug-bg: Как да огранича по MAC адрес или по IP?
- Subject: lug-bg: Re: lug-bg: Как да огранича по MAC адрес или по IP?
- From: "atlas" <atlas@xxxxxxxxxxxxxxx>
- Date: Sat, 2 Oct 2004 16:39:13 +0300
Получи се :)
Благодаря ти Илия.
> From: "Ilia Lindov" <lists@xxxxxxxxxxxxxx>
>
> atlas wrote:
> > Здравейте група,
> Здравей,
> > Имам Linux машина (Slakware v.10), която е вързана към Internet чрез
PPP0.
> > Освен това има и мрежов адаптер ETH0, чрез който подава Internet към
> > вътрешната ми мрежа (192.168.1.0/24).
> > Въпроса ми е, как да огранича достъпа до машината през PPP0 да става
само
> > през конкретен MAC адрес или конкретно IP? Идеята ми е да командвам
Linux
> > машината през Internet примерно чрез SSH порт 22, но не искам да
ограничавам
> > по порт (iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP)
> Въобще каква е връзката между това да управляваш през едикой си порт и
> после да ограничаваш... Тук нещо не ми е ясно... искаш да имаш достъп
> до компютъра от някой друг компютър от интернет или от локалната мрежа?
> Ако е от локалната мрежа може да стане по МАС адрес, но от интернет,
> мисля че е възможно да го направиш само по IР, защото МАС адресите си
> имат значение само в конкрения мрежов сегмент (даже пък при PPP за какви
> МАС адреси става дума?!)
>
> Според мен можеш да решиш проблема по следния начин:
> Ако IP адреса на твоя компютър (който ще управляваш)е 111.222.333.444, а
> IР адреса на
> компютъра, ОТ който ще го управляващ(конфигурираш) е 555.666.777.888...
>
> iptables -P INPUT DROP
> # пускаш всичко от локалната мрежа
> iptables -A INPUT -i eth0 -j ACCEPT
> # разрешаваш връзки от интернет само от IР адрес 555.666.777.888 # и
> само на порт 22
> iptables -A INPUT -p tcp -i ppp0 -s 555.666.777.888 --dport 22 -j ACCEPT
>
> Тук трябва да решиш как ще организираш OUTPUT веригата.
> Единия вариант, който е най-елементарния и най-несигурния е просто в
> началото на скрипта да имаш:
> iptables -P OUTPUT ACCEPT
> но както споменах този вариант не е особено удачен от глредна точка на
> сигурността, защото ако по някакъв начин е компрометирана сигурността на
> машината и по някъкъв начин кракер може да изпълнява команди на
> машината, то той би могъл много лесно да отвори изходяща връзка от твоя
> компютър.
> Втория вариант е:
> iptables -P OUTPUT DROP
> iptables -A OUTPUT -p tcp -o ppp0 -d 555.666.777.888 --sport 22 -j ACCEPT
>
> Надявам се, че съм разбрал правилно въпроса и съм успял, поне малко, да
> помогна! :) Успех!
>
> Поздрави: Илия Линдов
>
>
>
============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
>
============================================================================
>
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|