关于linux arp绑定mac及iptables限制上网问题

dhongjun

请教：我想通过mac与ip绑定，然后在防火墙里对局域网内的mac可以上网，不在mac范围内的不可以上网。
我的做法是：
#vim /etc/ethers
192.168.0.1   00:30:e3:e4:3d
#arp -f
#防火墙设置如下
iptables －P FORWARD DROP
iptables —A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source 00:30:e3:e4:3d -j ACCEPT

ipt_mac和ipt_state 已经加载

但是并没有限制成功 其他mac仍然能够上网，请帮忙分析一下

ssffzz1

1、需要禁止ARP协议。方法时在网卡的配置文件中添加ARP=no   .因为如果不禁止ARP协议的话，机器还是能够学习到MAC因此无法无法禁止。
2、只需要编辑Ether文件即可。在IPTABLES中无需限制。

3、如果用IPTABLES限制的话，则无需关闭ARP协议。

dhongjun

你的意思是：禁止arp协议，然后编辑/etc/ethers?,那我通过iptables的 mac检测规则限制怎么其他机器仍然可以上网呢，有点晕，呵呵

ssffzz1

帖除你的所有的iptables规则看看。

dhongjun

#Load model

modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_mac ipt_state"

for mod in $modules

do
        testmod=`lsmod|grep "${mod}"`
       
        if [ "$testmod" == "" ];
then
               
        modprobe $mod
       
        fi

done


#locale host iptables settings

#Clear
PATH=/sbin:/usr/sbin:/bin:/usr/bin;
export PATH

iptables -F

iptables -X

iptables -Z

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP



iptables -A INPUT -p icmp -i lo -j ACCEPT

iptables -A OUTPUT -p icmp -o lo -j ACCEPT


iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state RELATED -j ACCEPT



iptables -A FORWARD  -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.2.15 -m mac --mac-source 00-14-2A-E7-67-D4 -j ACCEPT



iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT



#accept ICMP packet input

AICMP="0 3 3/4 4 11 12 14 16 18"

for tyicmp in $AICMP

do
       
    iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT

done
这是我现在使用的

wwlovezz

在网卡属性里添加ARP=no
然后在/etc/ethers里对应每台机器的IP和正确的MAC：：：：：：：：：：：
只要是IP和MAC地址对应``就可以上。。
没对应的就上不了```

是这样么？？？？？

ssffzz1

是的。