-m mac --mac-source über Internet

Diskutiere -m mac --mac-source über Internet im Firewalls Forum im Bereich Netzwerke & Serverdienste; Ich benutze derzeit Debian 3.0R2 mit einem eigenen Kernel, und ich möchte gerne den zugriff auf SSH nur ganz bestimmtem MAC´s erlauben, jedoch...

  1. #1 debian_ownz, 25.05.2005
    debian_ownz

    debian_ownz Grünschnabel

    Dabei seit:
    25.05.2005
    Beiträge:
    5
    Zustimmungen:
    0
    Ich benutze derzeit Debian 3.0R2 mit einem eigenen Kernel, und ich möchte gerne den zugriff auf SSH nur ganz bestimmtem MAC´s erlauben, jedoch erkennt iptables ja nur die MAC vom allerletzten Peer zwischen dem Server und mir. Kann man das irgendwie überbrücken? Ich hab gehört, mit der Tunnelfunktion von Putty würde sich das lösen lassen, ich hab sogar schon einen funktionierenden Tunnel aufgebaut, jedoch wird selbst dann die MAC von einem anderen PC in den Logs angezeigt, anstatt meiner :think: :hilfe2:
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Salutti

    Ich denke nicht, dass dies möglich ist. Wieso löst du das Problem nicht mit Zertifikaten? Schlussendlich ist eine MAC Addresse so vertrauenswürdig wie eine IP-Addresse. Beides lässt sich beliebig abändern.

    Gruss
    tr0nix
     
  4. #3 debian_ownz, 25.05.2005
    debian_ownz

    debian_ownz Grünschnabel

    Dabei seit:
    25.05.2005
    Beiträge:
    5
    Zustimmungen:
    0
    also ich wusste ja, dass dies bei nvidia-onboard-NICs möglich ist :oldman , gibts denn noch mehr von der doch recht "verräterischen" Sorte??
     
  5. #4 debian_ownz, 25.05.2005
    debian_ownz

    debian_ownz Grünschnabel

    Dabei seit:
    25.05.2005
    Beiträge:
    5
    Zustimmungen:
    0
    (auf MACs bezogen jetzt)
     
  6. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
  7. #6 -str]ID[er-, 25.05.2005
    -str]ID[er-

    -str]ID[er- looser vom dienst

    Dabei seit:
    10.01.2005
    Beiträge:
    175
    Zustimmungen:
    0
    Ort:
    Frankfurt am Main ~southside territory~
    und es gibt für die win freunde untrer uns das tool smac...... (da du putty nutzt, scheinst du win aufem desktop am start haben)
     
  8. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Ich vermisse die [zensur]-Tags ^^
     
  9. #8 -str]ID[er-, 25.05.2005
    -str]ID[er-

    -str]ID[er- looser vom dienst

    Dabei seit:
    10.01.2005
    Beiträge:
    175
    Zustimmungen:
    0
    Ort:
    Frankfurt am Main ~southside territory~
    es gibt für die "jehova" freunde unter uns.........

    besser so?? :))
     
  10. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Meinst du nicht eher Judas? :op
     
  11. #10 debian_ownz, 26.05.2005
    Zuletzt bearbeitet: 26.05.2005
    debian_ownz

    debian_ownz Grünschnabel

    Dabei seit:
    25.05.2005
    Beiträge:
    5
    Zustimmungen:
    0
    könntet ihr den sinnfreien smalltalk mal unterlassen?? vielleicht will ja jemand was effektives posten! Ausserdem dürfte es recht unwahrscheinlich sein das o.g. NICHT realisieren zu können, man müsste im extremsten Falle die lokale MAC auslesen und evtl. an die SSH-Pakete dranhängen oder extra Pakete schicken, die genau das übermitteln......letzteres dürfte recht leicht werden, nur hatte ich mir das eigentlich anders vorgestellt :think:, eine Lösung, bei der simple shell-scripte extra ausgeführt werden müssen, sieht mir irgendwie unschön aus.. ich würde es am liebsten per Tunnel lösen, weiss da jemand was passendes??
    ach übrigens: Zertifikate sind mir zu unsicher (!!), VPN läuft unter meinem Debian anscheinend nicht (seltsame Fehlermeldungen bei OpenVPN, die niemand erklären kann).
     
  12. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Hallo? Zertifikate sind dir zu unsicher aber MAC Authentifizierung war dir sicher genug? Ich denke das ist wahrlich "sinnfrei".

    Mach doch einfach ne Firewall mit IP-restriction, Zertifikate und Passwortabfrage. Wenn dir das nicht sicher genug ist, stelle deinen Computer nicht ans Netz. Jedes weitere Gebastel erfordert nur mehr Software und Kernelpatches welche das Risiko nur erhöhen!

    Sicherheitsrelevante Software enthält sicherheitsrelevante Bugs.
     
  13. #12 nikster77, 30.05.2005
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Hi debian.
    Ich denke dein Ansatz ist irgendwie falsch, MAC-Adressen sagen nichts...
    Du solltest auf der Win Maschine einen PuTTY-Key generieren 2048 Bit DSA.
    Den oeffentliche Teil dieses Keys kopierst du in /home/benutzer/.ssh/authorized_keys
    Du wirst einige Aenderungen an dem Key vornehmen muessen (wg. Windows Carriage Return) der key muss eine komplette Zeile sein.
    Den --- blabla-Key--- kram kannst du loeschen.
    Der key (public) muss dann ungefaehr so aussehen ssh-dss fdsgdsfgdsfdsf(viel_laenger)
    Das ist immer noch das sicherste.
    Auf deiner Linux Maschine kannst du die Option AllowGroups=sshbenutzer mit in seine sshd_config aufnehmen.
    Somit sind nur mitglieder dieser Gruppe zur Anmeldung berechtigt.

    Das sollte sicher genug sein :)

    Gruss

    Niels
     
Thema:

-m mac --mac-source über Internet

Die Seite wird geladen...

-m mac --mac-source über Internet - Ähnliche Themen

  1. Samba keine rechte auf Überordner, aber auf Unterordner

    Samba keine rechte auf Überordner, aber auf Unterordner: Hi, hoffe ich bin hier richtig :-) Ich spiele hier gerade etwas mit Samba Active Directory herrum um eventuell den Windows AD Server damit zu...
  2. Mozilla konkretisiert Pläne für DNS über HTTPS

    Mozilla konkretisiert Pläne für DNS über HTTPS: Mozilla hat die Ergebnisse der jüngsten Tests von DNS über HTTPS vorgestellt. Diese führen zu Heuristiken, in welchen Situationen DNS über HTTPS...
  3. Canonical bietet Kubernetes 1.16 Beta mit Support

    Canonical bietet Kubernetes 1.16 Beta mit Support: Canonical bietet die Betaversion von Kubernetes 1.16 mit Enterprise-Support an. Weiterlesen...
  4. Google überarbeitet Android Branding und Versionsnamen

    Google überarbeitet Android Branding und Versionsnamen: Im Google-Blog äußert sich der Android-Erfinder kurz vor der Veröffentlichung von Google Q zu Android Branding und Versionsnamen. Weiterlesen...
  5. IBM übergibt OpenPower Foundation an die Linux Foundation

    IBM übergibt OpenPower Foundation an die Linux Foundation: Die OpenPower Foundation, 2013 von IBM ins Leben gerufen, um die Zusammenarbeit um Power ISA zu stärken, wird unter den Schirm der Linux...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden