[iptables] filteren op mac adress

Pagina: 1
Acties:

  • Sir Isaac
  • Registratie: September 2002
  • Laatst online: 21-05-2025
Ik heb thuis een server waarop ik jay's firewall gebruik. Daar kan ik custom rules aan toevoegen waarmee ik dingen kan regelen die niet met de interface kunnen.
Om vanaf mijn laptop altijd toegang te hebben wil ik filteren op mac adres. Daarom heb ik de volgende regel toegevoegd:
code:
1
$IPTABLES -t filter -A INPUT -m mac --mac-source 00:xx:xx:xx:xx:xx -j ACCEPT

Maar ik kom nog steeds niet door de firewall heen. Volgens mij moet een regel volstaan want de volgende regel is wel genoeg om toegang van een bepaald ip-nummer te krijgen:
code:
1
$IPTABLES -t filter -A INPUT -p tcp --src $xxx.xxx.xxx.xxx --dport 22 -j ACCEPT

De ipt_mac module is geladen, en het mac adress heb ik 3 keer gecontroleerd.

Wat zou er nog meer verkeerd kunnen zijn?

  • Barracuda
  • Registratie: Augustus 2000
  • Laatst online: 05-05-2023
een MAC adres is toch niet routable :?

dus volgens mij an dat niet vanaf het Inet correct me if i'm wrong

gratis af te halen SUN ultra1 compleet


Verwijderd

Barracuda schreef op 10 juni 2004 @ 20:24:
een MAC adres is toch niet routable :?

dus volgens mij an dat niet vanaf het Inet correct me if i'm wrong
Volledig juist hoor ;)
Hij zegt er wel niet bij of het om een thuisnetwerk (laptop -> server) of om een internetverbinding gaat (laptop -> internet -> server)...

Een MAC-adres is hardwarematig en geldt dus enkel van apparaat tot apparaat.
Over internet geldt het IP-adres
-> check OSI-model:

Afbeeldingslocatie: http://www.webopedia.com/img/OSI_Model.jpg

Technische blabla:
Fysieke laag zijn de kabels, hubs,... -> 1/0
Verbindinglaag: -> MAC, !!!hardwareadres!!! dat een knooppunt in het netwerk op een unieke waarde bepaalt
Netwerklaag (ook internet dus): IP-adres (!!!logische adressing!!!)

[ Voor 23% gewijzigd door Verwijderd op 11-06-2004 15:15 . Reden: Technische blabla ]


  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Verwijderd schreef op 11 juni 2004 @ 14:05:
Een MAC-adres is hardwarematig en geldt dus enkel van apparaat tot apparaat.
Over internet geldt het IP-adres
-> check OSI-model:
[afbeelding]
zeker net het OSI-model gehad op school ofzo? want ondanks dat je verhaal klopt, maakt het plaatsen van het OSI-model in deze vorm niet echt een handige uitleg van de situatie waarom een MAC vanaf een ander netwerk niet doorkomt ;)

edit:
uitleg OSI model met TCP/IP:
http://www.uwsg.iu.edu/usail/network/nfs/network_layers.html

[ Voor 10% gewijzigd door Erkens op 11-06-2004 14:10 ]


  • Barracuda
  • Registratie: Augustus 2000
  • Laatst online: 05-05-2023
kijk das mooi toch handig dat dat na al die jaren nog is blijven hangen

me mcse NT4 is alweer een jaar of 5 geleden
en ik gebruik voorderest weinig windows meer (op client nivo na dan)

gratis af te halen SUN ultra1 compleet


Verwijderd

Erkens schreef op 11 juni 2004 @ 14:08:
[...]

zeker net het OSI-model gehad op school ofzo? want ondanks dat je verhaal klopt, maakt het plaatsen van het OSI-model in deze vorm niet echt een handige uitleg van de situatie waarom een MAC vanaf een ander netwerk niet doorkomt ;)

edit:
uitleg OSI model met TCP/IP:
http://www.uwsg.iu.edu/usail/network/nfs/network_layers.html
1. Die Afbeelding komt ALTIJD terug als het over het OSI-model gaat.
2. Ik ken het OSI-model al jaren
3. U wijst mij op mijn fout, maar zet enkel een link voor meer uitleg i.v.m. het OSI-model... Terwijl ik het nodige heb uitgelegd -> verschil MAC en IP-adressering
Dus als u kritiek heeft, gelieve dan zelf wel een bijdrage te leveren. Het volledig uitleggen van het OSI-model is trouwens totaal overbodig! -> nogmaals: MAC en IP

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Verwijderd schreef op 11 juni 2004 @ 14:36:
[...]

1. Die Afbeelding komt ALTIJD terug als het over het OSI-model gaat.
2. Ik ken het OSI-model al jaren
3. U wijst mij op mijn fout, maar zet enkel een link voor meer uitleg i.v.m. het OSI-model... Terwijl ik het nodige heb uitgelegd -> verschil MAC en IP-adressering
Dus als u kritiek heeft, gelieve dan zelf wel een bijdrage te leveren. Het volledig uitleggen van het OSI-model is trouwens totaal overbodig! -> nogmaals: MAC en IP
1. Goh vreemd als het om het OSI model gaat :o
2. ja en? niet iedereen kent die, zeker niet newbies ;)
3. je mag wel je zeggen hoor :* Die uitleg die jij gaf heb je pas na mijn post erbij geedit dus ga niet de schijnheilige spelen. en bovendien waar zeg ik dat jij fout zit :?

[ Voor 4% gewijzigd door Erkens op 11-06-2004 14:40 ]


Verwijderd

Erkens schreef op 11 juni 2004 @ 14:39:
[...]

3. Die uitleg die jij gaf heb je pas na mijn post erbij geedit dus ga niet de schijnheilige spelen.
Ik was em aan het editen toen jij poste... Kan niet vliegen hoor!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Verwijderd schreef op 11 juni 2004 @ 14:47:
[...]

Ik was em aan het editen toen jij poste... Kan niet vliegen hoor!
ik wil hier niet ruzien, maar als jij dat merkt, dan is er toch niks aan de hand, dan hebben jouw edit en mijn post elkaar gewoon gekruist, kan toch gebeuren?

offtopic:
hoewel er iets dan niet met de klok klopt ;)
jarnodb wijzigde dit bericht 11-06-2004 14:14: Technische blabla (20%)
Door Erkens - Friday 11 June 2004 14:08
:P

Verwijderd

Erkens schreef op 11 juni 2004 @ 14:49:
[...]

ik wil hier niet ruzien, maar als jij dat merkt, dan is er toch niks aan de hand, dan hebben jouw edit en mijn post elkaar gewoon gekruist, kan toch gebeuren?

offtopic:
hoewel er iets dan niet met de klok klopt ;)
jarnodb wijzigde dit bericht 11-06-2004 14:14: Technische blabla (20%)
Door Erkens - Friday 11 June 2004 14:08
:P
Inderdaa, zand erover...
Mar euh waar zit de topicstarter? Al dat gedoe voor niets :P

  • Sir Isaac
  • Registratie: September 2002
  • Laatst online: 21-05-2025
Dus heb ik geen andere keus dat de poorten die ik open wil hebben volledig open te zetten? Het gaat om ssh en imap-ssl, dus is dat op zich nog geen ramp. Maar omdat het beter is om alles zo veel mogelijk dicht te hebben wilde ik op mac adres filteren.

P.S. Sorry voor de dubbel post. Ik had niet gezien dat mijn topic naar NT verhuisd was en dacht dat er iets fout was gegaan.

[ Voor 21% gewijzigd door Sir Isaac op 11-06-2004 15:18 ]


  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Sir Isaac schreef op 11 juni 2004 @ 15:17:
Dus heb ik geen andere keus dat de poorten die ik open wil hebben volledig open te zetten? Het gaat om ssh en imap-ssl, dus is dat op zich nog geen ramp. Maar omdat het beter is om alles zo veel mogelijk dicht te hebben wilde ik op mac adres filteren.
zelf heb ik alleen ssh open
ik deny alles behalve ssh in mijn hosts.deny, en enkel de ip's waar ik bij moet kunnen wat betreft imap zet ik dan tijdelijk in mijn hosts.allow, werkt prima voor mezelf :P

  • Sir Isaac
  • Registratie: September 2002
  • Laatst online: 21-05-2025
Ik heb de komende 2 weken alleen geen vast ip adres....

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Sir Isaac schreef op 11 juni 2004 @ 15:25:
Ik heb de komende 2 weken alleen geen vast ip adres....
mja, je zou ook een poortrange kunnen doen, of een simpel scriptje maken dat wanneer je inlogt @ ssh, automagisch je huidige ip in de hosts.allow stopt.
ff denken, ondersteund die hosts.allow zooi geen hostnames? want dan zou je misschien iets met dyndns oid kunnen proberen :)

edit: heb het even opgezocht, en in hosts.allow enzo kan je gewoon hostnames gebruiken, en dus kan je wellicht zo'n dyndns achtige service gebruiken, misschien dat dat werkt :)

[ Voor 18% gewijzigd door Erkens op 11-06-2004 15:32 ]


Verwijderd

Sir Isaac schreef op 11 juni 2004 @ 15:17:
Dus heb ik geen andere keus dat de poorten die ik open wil hebben volledig open te zetten? Het gaat om ssh en imap-ssl, dus is dat op zich nog geen ramp. Maar omdat het beter is om alles zo veel mogelijk dicht te hebben wilde ik op mac adres filteren.

P.S. Sorry voor de dubbel post. Ik had niet gezien dat mijn topic naar NT verhuisd was en dacht dat er iets fout was gegaan.
Noggg een keer: Wat wil je?
a) met je laptop thuis op je server?
b) via internet met je laptop (bijvoorbeeld op je werk) thuis op je server?
Sir Isaac schreef op 11 juni 2004 @ 15:25:
Ik heb de komende 2 weken alleen geen vast ip adres....
No-Ip.com
Ikzelf heb ook dynamisch IP, en ik werk al jaar en dag met mijn no-ip account (gratis!).

[ Voor 23% gewijzigd door Verwijderd op 11-06-2004 15:37 ]


  • Barracuda
  • Registratie: Augustus 2000
  • Laatst online: 05-05-2023
wat je natuurlijk ook kan doen ik je sshd op een andere poort gooien en/of één vaste "key" gebruiken

gratis af te halen SUN ultra1 compleet

Pagina: 1