[es] - IPTABLES, koliko je sigurno filtriranje po MAC adresama

dr_ambis
Uzice

Član broj: 36362
Poruke: 221
91.150.111.*

Profil

IPTABLES, koliko je sigurno filtriranje po MAC adresama

^{16.04.2007. u 01:21 - pre 207 meseci}

Zanima me koliko je sigurno filtriranje po MAC adresama.

Naime, delim internet sa drugom i u mrezi smo sa jos njih 6.

Imam server na kome sam namestio polise na INPUT FORWARD OUTPUT i PREROUTING na DROP

A pustio samo u PREROUTING i INPUT tabelu MAC-ove nasih mreznih karti.( znaci nikakva komplikovana IPTABLES skripta, odradjeno samo filtriranje po MAC-ovima)

Ukljucio forvardovanje, masquerade i to radi.

Sad voleo bih da znam koliko je te nepropusno za razne vrste paketa, dos napade, skeniranja i sl.Evo u prilog i skriptica:

IPT="/usr/sbin/iptables"

EXTIF="eth1"
INTIF="eth0"
LOCAL_IP="192.168.1.1"
LOCAL_NET="192.168.1.0/24"
LOCAL_BCAST="192.168.1.255"

LO_IFACE="lo"
LO_IP="127.0.0.1"

echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P PREROUTING DROP
$IPT -t filter -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:40:B9:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:40:B9:xx:xx:xx -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:0C:76:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:0C:76:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:80:5F:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:0D:88:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t filter -A OUTPUT -p ALL -j ACCEPT
$IPT -t filter -A FORWARD -p ALL -i $INTIF -o $EXTIF -j ACCEPT
$IPT -t filter -A FORWARD -i $INTIF -o $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -p ALL -i $LO_IFACE -o $EXTIF -j ACCEPT
$IPT -t filter -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -o $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -i $INTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Ovo provereno radi, znaci menjao sam mrezne karte na svom racunaru i ni sa jednom nisam imao pristup osim sa ovom ciji sam MAC dozvolio.

neceg novog se ne treba plasiti, treba ga razumeti

Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435

+13 Profil

Re: IPTABLES, koliko je sigurno filtriranje po MAC adresama

^{16.04.2007. u 01:33 - pre 207 meseci}

Sve je korektno odradjeno. Pitanje ne razumem. O kakvim propustanjima paketa i skeniranjima pricas?
Inace, filtriranje po mac adresama imaju tu losu stranu sto svako moze da donese drugu masinu, promeni mac i koristi net. Mislim, jeste osiguranje od nekoga ko zeli da to koristi bez icijeg znanja, ali, to ne sprecava bilo kod druga da radi sta hoce.

JaFreelancer.com

Odgovor na temu

dr_ambis
Uzice

Član broj: 36362
Poruke: 221
91.150.111.*

Profil

Re: IPTABLES, koliko je sigurno filtriranje po MAC adresama

^{16.04.2007. u 01:47 - pre 207 meseci}

Dos napadi i tako to, nmap skeniranje, mislim da li ovakav nacin odbija bukvalno sve, ima li kakvu drugu manu sem ove sto si naveo,posto je ideja da zabranim nekome sa lokalne mreze pristup internetu (imam i squid, podesen radi lepo ali me zanima i ovako). Prakticno kroz linux ruter sam dozvolio pristup dvema jedinstvenim kartama na svetu, posto su polise odredjenih tabela podesene na drop a kasnije dozvoljene samo ovim dvema mreznim kartama. Konkretno, koliko je ovo sigurno da neko drugi ( ne mislim na nekoga ko je za racunarom kod ovog drugara) ne moze da zaobidje firewall. Konkretno firewall je podesen kao i sto se vidi da ne moze niko sa nase mreze da koristi internet sem nas dvojice.

neceg novog se ne treba plasiti, treba ga razumeti

Odgovor na temu

risk
Srdjan Rosic
moj radni sto / freelancing
Dublin, Ireland

Član broj: 5723
Poruke: 278
*.adsl.verat.net.

Jabber: srdjan.rosic@gmail.com
ICQ: 92276228
Sajt: www.sietf.org

+2 Profil

Re: IPTABLES, koliko je sigurno filtriranje po MAC adresama

^{16.04.2007. u 10:40 - pre 207 meseci}

mac adrese se relativno lako menjaju, jesi razmisljao da koristis PPPoE? tako bi mogao da imas authentikaciju i lepo da uparis mtu sa odlaznim linkom, ono sto je drugacije je da je to mozda veci cim za tog tvog drugara sa kojim delis net.

mozes da probas i arpwatch, on ce ti reci da li je doslo de neke promene mac/ip parova odnosno do neke promene u arp tabeli. (prikacen novi komp u lan i tako to)

http://www.google.com/intl/en/jobs/index.html

Odgovor na temu