关于脚本的问题

扫净缘客

想用iptables做个只有指定ip地址与mac地址才能通过,其他拒绝的脚本

思路如下

MAC="00:00:00:00:00:01 00:00:00:00:00:02"
for i in $MAC
do
iptables -A FORWARD -m mac --mac-source $i -j ACCEPT
done

这只是单独的mac地址捆绑

但是我想把ip地址与mac地址同时捆绑.能否实现这样的思路
MAC="00:00:00:00:00:01 00:00:00:00:00:02"
IP="192.168.0.1 192.168.0.2"
for w in $IP
for i in $MAC
do
iptables -A FORWARD -s $w -m mac --mac-source $i -j ACCEPT
done

不知道这么做.如果真的成功.ip地址与mac地址是否能相互的对应上

我做测试是不成功.希望高手给个更好的办法予以解决难题

[ 本帖最后由 扫净缘客 于 2006-6-18 14:55 编辑 ]

platinum

若 FORWARD 默认规则是 ACCEPT，则此规则无效
若 FORWARD 默认规则是 DROP，则要考虑回包问题，要用 RELATED 和 ESTABLISHED 做基于状态的允许

扫净缘客

哎呀platinum
兄弟 好9不见了啊

想你了都.最近我在弄routeros和m0n0wall呢.所以没咋回来看你

我的FORWARD是ACCEPT状态

MAC="00:00:00:00:00:01 00:00:00:00:00:02"
for i in $MAC
do
iptables -A FORWARD -m mac --mac-source ! $i -j DROP
done

规则中原来有个"!"的 ,我想这么写.但是怕弄错了后掉线.就先用
iptables -A FORWARD -m mac --mac-source  $i -j ACCEPT
了

也就是说完整的规则是

iptables -A FORWARD -s 192.168.0.147 -m mac --mac-source ! 00:0E:A6:0A:8F:E2 -j DROP


我的想法能实现吗?如果能实现.ip与mac地址能对应上吗?

[ 本帖最后由 扫净缘客 于 2006-6-18 15:11 编辑 ]

platinum

呵呵，别来无恙，我最近在帮 routeclub 的坛主“想得太美”破解 RouterOS，虽然帮不上什么 ^_^
逻辑要想好， ! 不要轻易使用除非你考虑道理所有“非”的情况

扫净缘客

又遇到一起了.开心开心.routeros确实不错的.哈哈.而且支持ippnp技术呦

linux与bsd据说是很难实现的,有点遗憾

我下边的机器的ip地址与mac地址我都已经找到了.而且也都修改正常了

最近的arp攻击实在是让人讨厌啊.动不动就掉线了.所以做了arp -i的捆绑

现在我又担心有人乱篡改我的ip地址与mac地址nat上网.所以想通过iptables来做下"!"拒绝

不过如果要实现ip与mac一起DROP的话.就要一步步的写.太吃力了

所以想用

MAC="00:00:00:00:00:01 00:00:00:00:00:02"
IP="192.168.0.1 192.168.0.2"
for w in $IP
for i in $MAC
do
iptables -A FORWARD -s $w -m mac --mac-source ! $i -j DROP
done
的方式实现

但是不成功.请赐教

platinum

ROS 2.9.25 已经破解成功了，目前在做一些后期处理
等放出来了，还是用 ROS 更简单些

扫净缘客

恩.2.9.25比2.8.26有很多改进吧

2.8.26我用着呢.感觉还真不错.虽然刚接触.不过比较容易上手

2.9.25的改进都在那里啊.最好配合着使用说明一起出.这样更容易让没接触过的人容易上手

刚我去了routeclub.net注册了个id.感觉就是有些慢.

不知道是什么线路的

呵呵.日后真应该好好的向你学习了.先致敬好了

扫净缘客

关注中

springwind426

我觉得不需要在IPTABLES中用MAC绑定

如果你的网络简单，就在你的网关机器上做IP与MAC的绑定

如果网络复杂，就在交换机中做IP与MAC的绑定

绑定的时候记住将那些没有用到的内网IP绑定到一个虚假的MAC上，否则用户改IP还是可以使用的。

IPTABLES就负责IP的访问控制就行了。

扫净缘客

多谢9楼的朋友一直在关注着

我今天又改动了下脚本.虽然运行成功.但是出了个奇怪的问题

IP="192.168.0.251 192.168.0.252"
MAC="00:E0:4C:39:1F:27 02:0A:EB:A8:A4:47"
for i in $IP;do
for w in $MAC;do
iptables -A FORWARD -s $i -m mac --mac-source $w -j ACCEPT
done
done

如此修改.虽然运行没有错误

但是iptables -nvL显示的结果却是

Chain FORWARD (policy ACCEPT 2840K packets, 2259M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       192.168.0.251        0.0.0.0/0          MAC 00:E0:4C:39:1F:27
    0     0 ACCEPT     all  --  *      *       192.168.0.251        0.0.0.0/0          MAC 02:0A:EB:A8:A4:47
    0     0 ACCEPT     all  --  *      *       192.168.0.252        0.0.0.0/0          MAC 00:E0:4C:39:1F:27
    0     0 ACCEPT     all  --  *      *       192.168.0.252        0.0.0.0/0          MAC 02:0A:EB:A8:A4:47


为什么它会一个ip捆绑了两个mac地址呢??

如果正常的for i  in 是不会出现这样的错误的啊

为什么有了两个for do done 而出这样的结果呢??

有没有办法通过一个iptables把ip和mac都对应的捆绑呢?

继续关注

[ 本帖最后由 扫净缘客 于 2006-6-19 23:07 编辑 ]