* [Comm] ipchains + фильтрация по макам
@ 2004-07-22 8:19 Alexey S. Kuznetsov
2004-07-22 8:25 ` Gennadiy Redko
` (2 more replies)
0 siblings, 3 replies; 6+ messages in thread
From: Alexey S. Kuznetsov @ 2004-07-22 8:19 UTC (permalink / raw)
To: community
Привет всем!
Можно ли фильтровать доступ к серверу по макам клиентов?
Например, если мак адрес сетевухи клиента не соответствует, тому,
который в базе на сервере, то его не пускать в инет?
Через iptables это сделать можно, может есть какие-то утилиты,
которые независимо чекают маки?
--
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] ipchains + фильтрация по макам
2004-07-22 8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
@ 2004-07-22 8:25 ` Gennadiy Redko
2004-07-22 8:25 ` Mike Lykov
2004-07-22 9:33 ` Eugene Prokopiev
2 siblings, 0 replies; 6+ messages in thread
From: Gennadiy Redko @ 2004-07-22 8:25 UTC (permalink / raw)
To: community
Alexey S. Kuznetsov пишет:
> Привет всем!
> Можно ли фильтровать доступ к серверу по макам клиентов?
> Например, если мак адрес сетевухи клиента не соответствует, тому,
> который в базе на сервере, то его не пускать в инет?
> Через iptables это сделать можно, может есть какие-то утилиты,
> которые независимо чекают маки?
>
man arp ?
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] ipchains + фильтрация по макам
2004-07-22 8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
2004-07-22 8:25 ` Gennadiy Redko
@ 2004-07-22 8:25 ` Mike Lykov
2004-07-22 8:42 ` Re[2]: " Alexey S. Kuznetsov
2004-07-22 9:33 ` Eugene Prokopiev
2 siblings, 1 reply; 6+ messages in thread
From: Mike Lykov @ 2004-07-22 8:25 UTC (permalink / raw)
To: community
В сообщении от Четверг 22 Июль 2004 13:19 Alexey S. Kuznetsov написал:
> Через iptables это сделать можно, может есть какие-то утилиты,
> которые независимо чекают маки?
arpwatch - Утилиты для отслеживания соответствия IP адресов в сети.
?
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re[2]: [Comm] ipchains + фильтрация по макам
2004-07-22 8:25 ` Mike Lykov
@ 2004-07-22 8:42 ` Alexey S. Kuznetsov
2004-07-22 9:21 ` Gennadiy Redko
0 siblings, 1 reply; 6+ messages in thread
From: Alexey S. Kuznetsov @ 2004-07-22 8:42 UTC (permalink / raw)
To: Mike Lykov
Hello Mike,
Thursday, July 22, 2004, 11:25:44 AM, you wrote:
ML> В сообщении от Четверг 22 Июль 2004 13:19 Alexey S. Kuznetsov написал:
>> Через iptables это сделать можно, может есть какие-то утилиты,
>> которые независимо чекают маки?
ML> arpwatch - Утилиты для отслеживания соответствия IP адресов в сети.
ML> ?
ну я понимаю...она отслеживает.....есть ли аналог, если нет iptables
такой кооманде:
iptables -I input -s 192.168.5.117 -d 192.168.5.1 -m mac --mac-source 00:0a:00:00:00:01 -j ACCEPT
--
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] ipchains + фильтрация по макам
2004-07-22 8:42 ` Re[2]: " Alexey S. Kuznetsov
@ 2004-07-22 9:21 ` Gennadiy Redko
0 siblings, 0 replies; 6+ messages in thread
From: Gennadiy Redko @ 2004-07-22 9:21 UTC (permalink / raw)
To: community
Alexey S. Kuznetsov пишет:
>
> ну я понимаю...она отслеживает.....есть ли аналог, если нет iptables
> такой кооманде:
> iptables -I input -s 192.168.5.117 -d 192.168.5.1 -m mac --mac-source 00:0a:00:00:00:01 -j ACCEPT
>
>
Можно вручную задать соответствие MAC и IP:
man arp
/skip
-s hostname hw_addr, --set hostname
Manually create an ARP address mapping entry for host
hostname
with hardware address set to hw_addr class, but for most
classes
one can assume that the usual presentation can be used.
For the
Ethernet class, this is 6 bytes in hexadecimal,
separated by
colons. When adding proxy arp entries (that is those
with the
publish flag set a netmask may be specified to proxy
arp for
entire subnets. This is not good practice, but is
supported by
older kernels because it can be useful. If the temp flag
is not
supplied entries will be permanent stored into the ARP cache.
NOTE: As of kernel 2.2.0 it is no longer possible to set
an ARP
entry for an entire subnet. Linux instead does
automagic proxy
arp when a route exists and it is forwarding. See
arp(7) for
details.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] ipchains + фильтрация по макам
2004-07-22 8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
2004-07-22 8:25 ` Gennadiy Redko
2004-07-22 8:25 ` Mike Lykov
@ 2004-07-22 9:33 ` Eugene Prokopiev
2 siblings, 0 replies; 6+ messages in thread
From: Eugene Prokopiev @ 2004-07-22 9:33 UTC (permalink / raw)
To: community
Alexey S. Kuznetsov пишет:
> Привет всем!
> Можно ли фильтровать доступ к серверу по макам клиентов?
ebtables.sf.net - вполне работает.
> Например, если мак адрес сетевухи клиента не соответствует, тому,
> который в базе на сервере, то его не пускать в инет?
может просто создать статическую arp-таблицу?
> Через iptables это сделать можно, может есть какие-то утилиты,
> которые независимо чекают маки?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2004-07-22 9:33 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-07-22 8:19 [Comm] ipchains + фильтрация по макам Alexey S. Kuznetsov
2004-07-22 8:25 ` Gennadiy Redko
2004-07-22 8:25 ` Mike Lykov
2004-07-22 8:42 ` Re[2]: " Alexey S. Kuznetsov
2004-07-22 9:21 ` Gennadiy Redko
2004-07-22 9:33 ` Eugene Prokopiev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git