URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74026
[ Назад ]

Исходное сообщение
"iptables + MAC filter не работает"
Отправлено VecH , 12-Май-07 10:00

# uname -a
Linux aginskoe.ru 2.6.15-28-amd64-server #1 SMP Tue Mar 13 21:03:51 UTC 2007 x86_64 GNU/Linux
# iptables -V
iptables v1.3.3
# cat ip_tbl.sh
/sbin/iptables -t filter -I INPUT -p all -m mac --mac-source 00:11:95:46:8E:D8 -j DROP
почему не работает это правило?
куда копать
все остальное работает без проблем (NAT, tcp/udp filter)

Содержание

iptables + MAC filter не работает,Mikhail, 11:33 , 13-Май-07
- iptables + MAC filter не работает,VecH, 12:13 , 13-Май-07
  - iptables + MAC filter не работает,Oyyo, 12:54 , 13-Май-07
    - iptables + MAC filter не работает,VecH, 12:58 , 13-Май-07
iptables + MAC filter не работает,Mikhail, 13:05 , 13-Май-07
- iptables + MAC filter не работает,Oyyo, 14:08 , 13-Май-07
  - iptables + MAC filter не работает,VecH, 14:31 , 13-Май-07
    - iptables + MAC filter не работает,Oyyo, 15:53 , 13-Май-07
      - iptables + MAC filter не работает,VecH, 16:19 , 13-Май-07
        
        iptables + MAC filter не работает,Oyyo, 17:23 , 13-Май-07
        
        iptables + MAC filter не работает,VecH, 18:09 , 13-Май-07
        
        iptables + MAC filter не работает,Oyyo, 18:33 , 13-Май-07
        
        iptables + MAC filter не работает,VecH, 18:57 , 13-Май-07

Сообщения в этом обсуждении

"iptables + MAC filter не работает"
Отправлено Mikhail , 13-Май-07 11:33

Какой модуль ( -m mac) отвечает за это? Загружен ли этот модуль?

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 12:13

>Какой модуль ( -m mac) отвечает за это? Загружен ли этот модуль?
>
и какой же модуль отвечает за блокировки по MAC ?

"iptables + MAC filter не работает"
Отправлено Oyyo , 13-Май-07 12:54

>>Какой модуль ( -m mac) отвечает за это? Загружен ли этот модуль?
>>
>и какой же модуль отвечает за блокировки по MAC ?
ipt_mac
[root@~]# lsmod |grep ipt
ipt_mac                 2113  1
ipt_state               1985  7
ipt_multiport           2753  10
iptable_filter          3137  1
ipt_TOS                 2497  1
ipt_TTL                 2625  2
iptable_mangle          3009  1
ipt_MASQUERADE          3777  1
iptable_nat             7749  1
ip_nat                 18901  2 ipt_MASQUERADE,iptable_nat
ip_conntrack           52113  4 ipt_state,ipt_MASQUERADE,iptable_nat,ip_nat
ip_tables              20033  9 ipt_mac,ipt_state,ipt_multiport,iptable_filter,ipt_TOS,ipt_TTL,iptable_mangle,ipt_MASQUERADE,iptable_nat

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 12:58

>>>Какой модуль ( -m mac) отвечает за это? Загружен ли этот модуль?
>>>
>>и какой же модуль отвечает за блокировки по MAC ?
>
>ipt_mac
>
>[root@~]# lsmod |grep ipt
у меня вроде все в порядке
# lsmod |grep ipt
ipt_ULOG               18720  0
ipt_TTL                11136  0
ipt_ttl                10624  0
ipt_TOS                11136  0
ipt_tos                10240  0
ipt_TCPMSS             13056  0
ipt_tcpmss             11008  0
ipt_state              10624  0
ipt_sctp               11392  0
ipt_SAME               11008  0
ipt_REJECT             14720  0
ipt_REDIRECT           10624  0
ipt_recent             20248  0
ipt_realm              10624  0
ipt_pkttype            10240  0
ipt_physdev            10768  0
ipt_owner              10752  0
ipt_NOTRACK            10752  0
ipt_NETMAP             10624  0
ipt_multiport          11264  0
ipt_MASQUERADE         12544  0
ipt_MARK               11264  0
ipt_mark               10496  0
ipt_mac                10624  14
ipt_LOG                16000  0
ipt_limit              11136  0
ipt_length             10368  0
ipt_iprange            10368  0
ipt_helper             11008  0
ipt_hashlimit          18704  0
ipt_esp                10624  0
ipt_ECN                12032  0
ipt_ecn                10880  0
ipt_DSCP               11136  0
ipt_dscp               10240  0
ipt_conntrack          11136  0
ipt_CONNMARK           11008  0
ipt_connmark           10496  0
ipt_comment            10240  0
ipt_CLUSTERIP          18440  0
ipt_CLASSIFY           10752  0
ipt_ah                 10624  0
ipt_addrtype           10752  0
iptable_raw            10752  0
iptable_mangle         11648  0
iptable_filter         11776  1
iptable_nat            17156  1
ip_nat                 31128  9 ipt_SAME,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,ip_nat_irc,ip_nat_tftp,ip_nat_ftp,ip_nat_pptp,iptable_nat
ip_conntrack           67496  16 ipt_state,ipt_NOTRACK,ipt_MASQUERADE,ipt_helper,ipt_conntrack,ipt_CONNMARK,ip_nat_irc,ip_nat_tftp,ip_nat_ftp,ip_conntrack_irc,ip_conntrack_tftp,ip_conntrack_ftp,ip_nat_pptp,ip_conntrack_pptp,iptable_nat,ip_nat
ip_tables              31488  47 ipt_ULOG,ipt_TTL,ipt_ttl,ipt_TOS,ipt_tos,ipt_TCPMSS,ipt_tcpmss,ipt_state,ipt_sctp,ipt_SAME,ipt_REJECT,ipt_REDIRECT,ipt_recent,ipt_realm,ipt_pkttype,ipt_physdev,ipt_owner,ipt_NOTRACK,ipt_NETMAP,ipt_multiport,ipt_MASQUERADE,ipt_MARK,ipt_mark,ipt_mac,ipt_LOG,ipt_limit,ipt_length,ipt_iprange,ipt_helper,ipt_hashlimit,ipt_esp,ipt_ECN,ipt_ecn,ipt_DSCP,ipt_dscp,ipt_conntrack,ipt_CONNMARK,ipt_connmark,ipt_comment,ipt_CLUSTERIP,ipt_CLASSIFY,ipt_ah,ipt_addrtype,iptable_raw,iptable_mangle,iptable_filter,iptable_nat

"iptables + MAC filter не работает"
Отправлено Mikhail , 13-Май-07 13:05

Проверяй синтаксис. Попробуй такое же правило, но с действием LOG, и добейся, чтобы отрабатывало. Регистр, может быть? Ограничение по протоколу?

"iptables + MAC filter не работает"
Отправлено Oyyo , 13-Май-07 14:08

>Проверяй синтаксис. Попробуй такое же правило, но с действием LOG, и добейся,
>чтобы отрабатывало. Регистр, может быть? Ограничение по протоколу?
вывод
# iptables -L -v -n
показывает что-то подобное?
    0     0 ACCEPT     all  --  *      *    10.100.238.1         0.0.0.0/0           MAC 00:02:44:56:3A:C7

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 14:31

>>Проверяй синтаксис. Попробуй такое же правило, но с действием LOG, и добейся,
>>чтобы отрабатывало. Регистр, может быть? Ограничение по протоколу?
>
>вывод
># iptables -L -v -n
>показывает что-то подобное?
>

>    0     0 ACCEPT
>   all  --  *
>  *    10.100.238.1
>    0.0.0.0/0
>    MAC 00:02:44:56:3A:C7
>

Показывает, правило есть в списке
но не обрабатывается
в логах тоже пусто

"iptables + MAC filter не работает"
Отправлено Oyyo , 13-Май-07 15:53

>Показывает, правило есть в списке
>но не обрабатывается
>в логах тоже пусто
Тогда хотелос бы увидеть полный вывод команды
iptables -L -v -n
что там творится

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 16:19

>>Показывает, правило есть в списке
>>но не обрабатывается
>>в логах тоже пусто
>
>Тогда хотелос бы увидеть полный вывод команды
>iptables -L -v -n
>что там творится
# iptables -L -v -n
Chain INPUT (policy ACCEPT 379M packets, 32G bytes)
pkts bytes target     prot opt in     out     source               destination
2994  437K ACCEPT     all  --  *      *       192.168.100.1        0.0.0.0/0
60438 3631K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:00:00:00:00:00
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 10:07:C6:07:EE:9B
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:90:C8:11:EA:8E
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:7E
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:6E
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:27015 MAC 00:11:2F:F6:20:A4
1575 97288 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:AD:22:0A
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0F:8F:D8:D8:A4
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:AD:22:0B
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:5E
   81  6315 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:EA:9B:8B
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:BC:63:0A:96
   21  2016 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:9D:CC:61
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:11:95:46:8E:D8
Chain FORWARD (policy ACCEPT 195M packets, 132G bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 268M packets, 84G bytes)
pkts bytes target     prot opt in     out     source               destination
Кого то дропает, а кого то нет

"iptables + MAC filter не работает"
Отправлено Oyyo , 13-Май-07 17:23

>>>но не обрабатывается
>>>в логах тоже пусто
а в каком логе и что должно писать?
на этот счёт у тебя нет правил
# iptables -L -v -n
>Chain INPUT (policy ACCEPT 379M packets, 32G bytes)
>pkts bytes target     prot opt in     out     source               destination
>2994  437K ACCEPT     all  --  *      *       192.168.100.1        0.0.0.0/0
>60438 3631K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:00:00:00:00:00
это правило непонятно и оно явно что-то дропает
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 10:07:C6:07:EE:9B
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:90:C8:11:EA:8E
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:7E
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:6E
>    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:27015 MAC 00:11:2F:F6:20:A4
это запрет только на контрстрайк, вимдимо на этой машине крутится сервак
>1575 97288 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:AD:22:0A
этот дропает
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0F:8F:D8:D8:A4
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:AD:22:0B
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:80:C8:11:EA:5E
>   81  6315 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:EA:9B:8B
здесь дропает
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:BC:63:0A:96
>   21  2016 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:0D:88:9D:CC:61
и здесь дропает
>    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 00:11:95:46:8E:D8
>Chain FORWARD (policy ACCEPT 195M packets, 132G bytes)
>pkts bytes target     prot opt in     out     source               destination
>Chain OUTPUT (policy ACCEPT 268M packets, 84G bytes)
>pkts bytes target     prot opt in     out     source               destination
>Кого то дропает, а кого то нет
у тебя дропает только тех, кто идёт непосредственно на эту машину
все кто идут форвардом куда-то дальше свободно проходять
если ты думаешь, что прописанный в правилах МАС всётаки заходит к тебе на машину, думаю ты  ошибаешся, такого просто не может быть, что-б одни МАСи дропало а на другие правило недействовало
если-б ещё знать какую задачу необходимо решить, можно было-б сказать что не так

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 18:09

Правило на LOG я убрал
два из указанных MAC адресов это мои ноутбука и они не дропаются (не форвард)
непосредственно на сервак от этих MAC адресов пинги проходят, по остальным портам на сервак коннект проходит
Странно все это как то, дропает выборочно
других правил кроме NAT-а на внутренний ФТП нету

"iptables + MAC filter не работает"
Отправлено Oyyo , 13-Май-07 18:33

>Правило на LOG я убрал
>два из указанных MAC адресов это мои ноутбука и они не дропаются
>(не форвард)
>непосредственно на сервак от этих MAC адресов пинги проходят, по остальным портам
>на сервак коннект проходит
>
>Странно все это как то, дропает выборочно
>других правил кроме NAT-а на внутренний ФТП нету
посмотри
arp -a
или
arp -n
с каким МАСом приходит твой ноут, скорей всего ты где-то ошибся

"iptables + MAC filter не работает"
Отправлено VecH , 13-Май-07 18:57

>>Правило на LOG я убрал
>>два из указанных MAC адресов это мои ноутбука и они не дропаются
>>(не форвард)
>>непосредственно на сервак от этих MAC адресов пинги проходят, по остальным портам
>>на сервак коннект проходит
>>
>>Странно все это как то, дропает выборочно
>>других правил кроме NAT-а на внутренний ФТП нету
>
>посмотри
>arp -a
>или
>arp -n
>с каким МАСом приходит твой ноут, скорей всего ты где-то ошибся

прямо с ноута копировал в PuTTy
ошибиться не мог (и уж тем более на двух ноутах)
Нафиг, счас буду все пересобирать
или другой дистр ставить (OpenSUSE попробую)