PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : bei SUSE 10.1 mittels iptables clients freigeben



smuerf77
14.02.2007, 22:31
Hallo!
Auf dem Server Rennt Suse 10.1, die Clients die auf diesen zugreifen sollen aufgrund der MAC Adresse freigegeben werden. Lt. Theorie
iptables -I input_ext 20 -m mac --mac-source 12:34:56:78:90:12 -j ACCEPT.

Habe diese Regel an verschiedenen Positionen ausprobiert derzeit letzte Position (siehe Auszug ganz unten). Aber sobald ich mit der freigegebenen Mac zugreifen will ist diese noch immer gesperrt, ausser ich gebe den Dienst total frei.

kann mir jemand sagen was ich falsch mache??

Danke smuerf

Chain input_ext (2 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW
LOG all -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP all -- anywhere anywhere PKTTYPE = multicast
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere MAC 00:192:06:0B:1E
ACCEPT all -- anywhere anywhere MAC 00:0E:2E:8A:28

Fallout
02.03.2007, 14:22
Hi,


DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere MAC 00:192:06:0B:1E
ACCEPT all -- anywhere anywhere MAC 00:0E:2E:8A:28

Hinter der "DROP all"-Regel ist sehr ungünstig, da wohl kein normales Paket diese Hürde schafft.
Aber da Du sagst, Du hättest schon verschiedene Positionen versucht, liegt Dein Problem vermutlich viel eher an einer fehlenden entsprechenden OUTPUT-Regel. Sonst halten Deine MAC-Adressen einen recht faden Monolog :D


iptables -I output_ext 1 -m mac --mac-destination 12:34:56:78:90:12 -j ACCEPT