ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] ipchains + фильтрация по макам
@ 2004-07-22  8:19 Alexey S. Kuznetsov
  2004-07-22  8:25 ` Gennadiy Redko
                   ` (2 more replies)
  0 siblings, 3 replies; 6+ messages in thread
From: Alexey S. Kuznetsov @ 2004-07-22  8:19 UTC (permalink / raw)
  To: community

Привет всем!
  Можно ли фильтровать доступ к серверу по макам клиентов?
  Например, если мак адрес сетевухи клиента не соответствует, тому,
  который в базе на сервере, то его не пускать в инет?
  Через iptables это сделать можно, может есть какие-то утилиты,
  которые независимо чекают маки?

-- 
Sincerely,
 Alexey S. Kuznetsov    
 AK2351-RIPE



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] ipchains + фильтрация по макам
  2004-07-22  8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
@ 2004-07-22  8:25 ` Gennadiy Redko
  2004-07-22  8:25 ` Mike Lykov
  2004-07-22  9:33 ` Eugene Prokopiev
  2 siblings, 0 replies; 6+ messages in thread
From: Gennadiy Redko @ 2004-07-22  8:25 UTC (permalink / raw)
  To: community

Alexey S. Kuznetsov пишет:
> Привет всем!
>   Можно ли фильтровать доступ к серверу по макам клиентов?
>   Например, если мак адрес сетевухи клиента не соответствует, тому,
>   который в базе на сервере, то его не пускать в инет?
>   Через iptables это сделать можно, может есть какие-то утилиты,
>   которые независимо чекают маки?
> 
man arp ?



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] ipchains + фильтрация по макам
  2004-07-22  8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
  2004-07-22  8:25 ` Gennadiy Redko
@ 2004-07-22  8:25 ` Mike Lykov
  2004-07-22  8:42   ` Re[2]: " Alexey S. Kuznetsov
  2004-07-22  9:33 ` Eugene Prokopiev
  2 siblings, 1 reply; 6+ messages in thread
From: Mike Lykov @ 2004-07-22  8:25 UTC (permalink / raw)
  To: community

В сообщении от Четверг 22 Июль 2004 13:19 Alexey S. Kuznetsov написал:

>   Через iptables это сделать можно, может есть какие-то утилиты,
>   которые независимо чекают маки?

arpwatch - Утилиты для отслеживания соответствия IP адресов в сети.

?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re[2]: [Comm] ipchains + фильтрация по макам
  2004-07-22  8:25 ` Mike Lykov
@ 2004-07-22  8:42   ` Alexey S. Kuznetsov
  2004-07-22  9:21     ` Gennadiy Redko
  0 siblings, 1 reply; 6+ messages in thread
From: Alexey S. Kuznetsov @ 2004-07-22  8:42 UTC (permalink / raw)
  To: Mike Lykov

Hello Mike,

Thursday, July 22, 2004, 11:25:44 AM, you wrote:

ML> В сообщении от Четверг 22 Июль 2004 13:19 Alexey S. Kuznetsov написал:

>>   Через iptables это сделать можно, может есть какие-то утилиты,
>>   которые независимо чекают маки?

ML> arpwatch - Утилиты для отслеживания соответствия IP адресов в сети.

ML> ?

ну я понимаю...она отслеживает.....есть ли аналог, если нет iptables
такой кооманде:
iptables -I input -s 192.168.5.117 -d 192.168.5.1 -m mac --mac-source 00:0a:00:00:00:01 -j ACCEPT

-- 
Sincerely,
 Alexey S. Kuznetsov    
 AK2351-RIPE



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] ipchains + фильтрация по макам
  2004-07-22  8:42   ` Re[2]: " Alexey S. Kuznetsov
@ 2004-07-22  9:21     ` Gennadiy Redko
  0 siblings, 0 replies; 6+ messages in thread
From: Gennadiy Redko @ 2004-07-22  9:21 UTC (permalink / raw)
  To: community

Alexey S. Kuznetsov пишет:

> 
> ну я понимаю...она отслеживает.....есть ли аналог, если нет iptables
> такой кооманде:
> iptables -I input -s 192.168.5.117 -d 192.168.5.1 -m mac --mac-source 00:0a:00:00:00:01 -j ACCEPT
> 
> 
Можно вручную задать соответствие MAC и IP:
man arp
/skip
  -s hostname hw_addr, --set hostname
               Manually create an ARP address mapping entry for  host 
hostname
               with hardware address set to hw_addr class, but for most 
classes
               one can assume that the usual presentation can be used. 
For the
               Ethernet  class,  this  is  6 bytes in hexadecimal, 
separated by
               colons. When adding proxy arp entries (that is  those 
with  the
               publish  flag  set  a  netmask may be specified to proxy 
arp for
               entire subnets. This is not good practice, but is 
supported  by
               older  kernels because it can be useful. If the temp flag 
is not
               supplied entries will be permanent stored into the ARP cache.
               NOTE: As of kernel 2.2.0 it is no longer possible to set 
an  ARP
               entry  for  an entire subnet. Linux instead does 
automagic proxy
               arp when a route exists and it is  forwarding.  See 
arp(7)  for
               details.



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] ipchains + фильтрация по макам
  2004-07-22  8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
  2004-07-22  8:25 ` Gennadiy Redko
  2004-07-22  8:25 ` Mike Lykov
@ 2004-07-22  9:33 ` Eugene Prokopiev
  2 siblings, 0 replies; 6+ messages in thread
From: Eugene Prokopiev @ 2004-07-22  9:33 UTC (permalink / raw)
  To: community

Alexey S. Kuznetsov пишет:
> Привет всем!
>   Можно ли фильтровать доступ к серверу по макам клиентов?

ebtables.sf.net - вполне работает.

>   Например, если мак адрес сетевухи клиента не соответствует, тому,
>   который в базе на сервере, то его не пускать в инет?

может просто создать статическую arp-таблицу?

>   Через iptables это сделать можно, может есть какие-то утилиты,
>   которые независимо чекают маки?

-- 
С уважением, Прокопьев Евгений


^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2004-07-22  9:33 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-07-22  8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
2004-07-22  8:25 ` Gennadiy Redko
2004-07-22  8:25 ` Mike Lykov
2004-07-22  8:42   ` Re[2]: " Alexey S. Kuznetsov
2004-07-22  9:21     ` Gennadiy Redko
2004-07-22  9:33 ` Eugene Prokopiev

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git