Home Forum Sicurezza & Firewall Configurazione Firewall iptables e mac address...

iptables e mac address...

Login o registrati per inviare commenti
15 risposte [Ultimo contenuto]
Dom, 28/05/2006 - 18:47
Ritratto di Blacks
Blacks
(Junior)
Offline
Junior
Iscritto: 29/08/2005
Messaggi: 19

Ciao a tutti.

volevo sapere se, ed eventualmente come, impostare delle regole per
iptables per accettare connessioni a samba solo da un pc a cui corrisponde
un determinato mac address.

provando con:

/sbin/iptables -t filter -A INPUT -m mac --mac-source $mac_client -j
ACCEPT

il client, su cui gira WinXP, vede il server, ma non riesce a collegarsi.

se provo ad impostare la stessa regola, ma utilizzando come origine
l'indirizzo ip del client, tutto funzione e WinXP dopo avermi chiesto user
e pw mi mostra la condivisione.

La mia intenzione sarebbe poi di aprire solo le porte
neccessarie e che le regole che vi ho postato sono solo da esempio.

Ciao

Share
  • del.icio.us
  • Facebook
  • Google
  • Reddit
  • Twitter

###################
# JID -
###################

In cima
Dom, 28/05/2006 - 19:54
#1
Ritratto di enjoy_freestyle
enjoy_freestyle
(Geek)
Offline
Geek
Iscritto: 06/05/2006
Messaggi: 186

la regola che hai messo dovrebbe essere giusta...
però non l'ho mai provata...
come mai vuoi usare il mac e non l'ip?

magari il problema non è della tua regola ma di windows...
hai provato a fare un po' di sniffing dei pacchetti che ti arrivano con ethereal?

ciao ciao

Errare e' umano, perdonare e' fuori dalle specifiche del sistema operativo

In cima
Lun, 29/05/2006 - 16:45
#2
Ritratto di Blacks
Blacks
(Junior)
Offline
Junior
Iscritto: 29/08/2005
Messaggi: 19

Il motivo per cui vorrei usare il mac add è perche i mie pc sono collegati ad un modem fastweb che asegna gli ip via dhcp e anche se difficilmente cambiano, può succedere!! .. e vista anche l'architettura della rete fastweb le mie dir condivise potrebbero essere viste da tutti gli utenti fastweb della mia MAN.

OK .. che Samba è configurato per accettare solo utenti registrati, ma non si sa mai........

Non ho provato ad usare ethereal, anche perchè non sono molto pratico, ma magari posso provare, comunque avevo ache inserito una regola del tipo:

/sbin/iptables -A INPUT -m mac --mac-source $mac_client -j LOG --log-prefix "CIPPA LIPPA!!!!!"

e quando tentavo di collegarmi da winXp vedevo i vari log aparire in /var/log/messages , ma niente di fatto!!

Mah!!!!! che sia un probl. di Win?? non saprei ho provato anche disabilitando il FW (zoneAlarm)

Ciao!!

###################
# JID -
###################

In cima
Lun, 29/05/2006 - 17:02
#3
Ritratto di enjoy_freestyle
enjoy_freestyle
(Geek)
Offline
Geek
Iscritto: 06/05/2006
Messaggi: 186

capito... e non c'è modo di configurare il dhcp ad assegnare un ip in base allìindirizzo mac?

Per esempio ho configurato il dhcp del mio serverino a darmi sempre lo stesso ip al portatile...

magari c'è qualche funzione nel modem...

ciao ciao

Errare e' umano, perdonare e' fuori dalle specifiche del sistema operativo

In cima
Lun, 29/05/2006 - 17:20
#4
Ritratto di Madman
Madman
(Geek)
Offline
Geek
Iscritto: 29/03/2005
Messaggi: 130

Prova a spiegarci meglio com'è strutturata la tua rete (anche un semplice schemino in ASCII va benone) così potremo darti un supporto più concreto. Wink

In cima
Lun, 29/05/2006 - 17:39
#5
Ritratto di ntropia
ntropia
(Collaboratore)
Offline
Collaboratore
Iscritto: 18/09/2004
Messaggi: 931

In effetti se la tua rete fosse articolata in maniera che un computer restasse sempre acceso (e potrei immaginare con quale programma sempre in esecuzione Wink) potresti far condividere a lui la connessione, fornendo un servizio di dhcp interno alla tua LAN, ad esempio.

Se poi volessi fare le cose in maniera semplice e pulita, potresti sempre prendere un vecchio 486/pentium con 16 Mb di RAM, togliergli la polvere, metterci due schede di rete (anche wifi) e usare un linux su floppy per creare un firewall con i dadi al titanio.

eNjoy

Chi ha intendimento conti il numero della Bestia, perché è un numero d'uomo; e il suo numero è... rw-rw-rw-

In cima
Lun, 29/05/2006 - 18:40
#6
Ritratto di enjoy_freestyle
enjoy_freestyle
(Geek)
Offline
Geek
Iscritto: 06/05/2006
Messaggi: 186

Un'altra cosa interessante da sapere, visto che non me ne intendo affatto di fastweb, è se gli indirizzi che ti fornisce sono pubblici o privati... perchè se sono pubblici non è possibile configurarteli da te...

Inoltre mi potresti spiegare brevissimamente che cos'è la MAN? La M sta per caso per multicast?

Sicuramente adottando una soluzione come quella suggerita da ntropia saresti al siucro... però bloccare l'indirizzo mac sarebbe senz'altro meno costoso...

:idea::idea:Mi è venuta in mente una cosa... la faccenda del mac non funziona forse perchè da come penso il tuo modem ha più di un attacco ethernet:
quindi se tu mandi una qualsiasi trama ethernet da pc1 a pc2 questo passerà per il modem, quindi quando arriva a pc2 l'indirizzo mac sorgente non è più quello di pc1 ma quello del modem!!!

con ethereal lo puoi vedere subito: fai partire una cattura su un pc (pc1), da un altro (pc2) fai un ping verso pc1 e vedi se il mac sorgente è rimasto quello di pc2 o è cambiato!

fammi sapere

ciao ciao

Errare e' umano, perdonare e' fuori dalle specifiche del sistema operativo

In cima
Lun, 29/05/2006 - 19:34
#7
Ritratto di Blacks
Blacks
(Junior)
Offline
Junior
Iscritto: 29/08/2005
Messaggi: 19

Si..scusate sono stato troppo vago:
in pratica ho due pc uno con debian e l'altro con XP ( fino qui si era capito ) entrambi collegati al modem di fastweb che ha tre porte.

Il modem di fastweb fornisce via dhcp gli inidirizzi ai pc e non c'è modo di configurarlo.

Gli indirizzi forniti sono privati e visibili solo all'interno della man (metropolitan area network ......la rete fastweb è divisa in una sorta di sottoreti geografiche Thinking ).

In pratica tutti gli utenti fastweb sono NATTATI per poter uscire in internet ( per avere l'ip pubblico si PAGA 0,5 cent l'ora o 4 Euro al giorno....il mio contratto prevede 20 ore di ip publico al mese gratis)

Altra cosa: l'hub del modem e settato per una velocità massima di 20Mbit/s anche se traferisco un file sul pc della mia ragazza collegato allo stesso modem.
per ovviare al problema ( se così si può chiamare ) uso un hub con 4 porte: una di uplink collegata al modem, 2 collegate al pc e una resta libera.

il pc su cui gira il pinguino non sempre è acceso e spesso la mia ragazza ha bisogno di lavorare col su portatile senza necessità di accendre il mio.

Per ora comunque ho notato che in varie sett. gli ip non sono mai cambiati e nei forum degli utenti fastweb ho scoperto che succede
molto di rado.

Non so se sono stato chiaro, ma sono tutt'altro che esperto e, diciamo, che vado un pò a tentoni.

Ciao e grazie per l'interessamento.

PS - prossimamente mi cimenterò nella ricompilazione del Kernel quindi preparatevi, perchè faro sicuramente dei casini Big Grin

###################
# JID -
###################

In cima
Lun, 29/05/2006 - 23:01
#8
Ritratto di ntropia
ntropia
(Collaboratore)
Offline
Collaboratore
Iscritto: 18/09/2004
Messaggi: 931

Quote:

Gli indirizzi forniti sono privati e visibili solo all'interno della man

Interessante: questo chiarisce un po' la situazione...
Quote:

Altra cosa: l'hub del modem e settato per una velocità massima di 20Mbit/s anche se traferisco un file sul pc della mia ragazza collegato allo stesso modem.
per ovviare al problema ( se così si può chiamare ) uso un hub con 4 porte: una di uplink collegata al modem, 2 collegate al pc e una resta libera.
il pc su cui gira il pinguino non sempre è acceso e spesso la mia ragazza ha bisogno di lavorare col su portatile senza necessità di accendre il mio.

A questo punto, ribadisco il suggerimento di un mini-firewall tutto tuo, perchè con 4 minuti di configurazione ti rendi meno visibile (o invisibile, dipende da te) nella tua MAN, continueresti ad usare l'hub che hai per la tua LAN personale (Lamiaragazza-Area-Network Laughing
ed avresti un natter personale, che condivide la connessione sempre e comunque, senza ingombrare.
          [ H U B ]<br />Debian-----&#039;  |   |<br />WinXP---------&#039;   &#039;-----------[FIREWALL]---[MODEM FASTWEBBE]--- M A N...
Hai già tutto quello che ti serve, a parte il pc (dubito che non hai sotto mano un residuato bellico in fase di stagionatura avanzata...
Il mio firewal (lo so, lo nomino sempre, ma mi ci sono affezionato) vive in un mobiletto nell'ingresso, con un paio di buchi per l'aria e i cavi di rete, tutto "naked", silenzioso e fedele...

eNjoy

Chi ha intendimento conti il numero della Bestia, perché è un numero d'uomo; e il suo numero è... rw-rw-rw-

In cima
Mar, 30/05/2006 - 09:46
#9
Ritratto di kripsio
kripsio
(Collaboratore)
Offline
Collaboratore
Iscritto: 10/09/2004
Messaggi: 1486

In ufficio abbiamo preso un boxino router/firewall di classe soho (costa una fetenzia) e risolto la cosa in maniera compatta ed elegante... abbiamo la nostra rete, un ponte wireless per il mio cubicolo visto che non ci arriva il cavo ed uscimo tutti insieme appassionatamente mascherati sullo stesso ip che fastweb assegna al firewall/router.

In cima
Mar, 30/05/2006 - 16:51
#10
Ritratto di ntropia
ntropia
(Collaboratore)
Offline
Collaboratore
Iscritto: 18/09/2004
Messaggi: 931

...e rimetti il vecchio pentium in soffitta! Wink

eNjoy

Chi ha intendimento conti il numero della Bestia, perché è un numero d'uomo; e il suo numero è... rw-rw-rw-

In cima
Login o registrati per inviare commenti
‹ Previous topic: Problema con i log del firewall Next topic: Setuid + Esmtp + Mail ›