ऑब टेबल के माध्यम से ubuntu गेटवे पर नेटवर्क ट्रैफिक को कैसे ब्लॉक करें

मेरे पास 80 PC के साथ एक नेटवर्क और GW के रूप में एक ubuntu 12.04 है। सुरक्षा कारणों से मैं इस नेटवर्क पर जुड़े कंप्यूटरों को ARP पूर्वनिर्धारित तालिका का उपयोग करके सीमित करना चाहता हूं। दूसरे शब्दों में, मैं एक उपकरण चाहता हूं जो केवल इंटरनेट तक पहुंच की अनुमति देता है अगर जोड़ी ARP --> [IP-MAC]पूर्वनिर्मित हो और हर दूसरे संयोजन को अनदेखा करें। इस तकनीक के साथ मैं उपयोगकर्ताओं को अपने आईपी पते को बदलने के लिए रोकना चाहता हूं जो डीएचसीपी आरक्षण से दिए गए हैं, और असीमित नेटवर्क और escape from iptableनियमों तक पहुंच से । धन्यवाद

जो आप वास्तव में देख रहे हैं वह 802.1x नेटवर्क एक्सेस कंट्रोल है। यह RADIUS पर चलता है, और नेटवर्क एक्सेस से पहले क्लाइंट प्रमाणीकरण की आवश्यकता होती है। सहित कई लिनक्स आधारित समाधान हैं:

ग्राहकों के लिए:

• http://tldp.org/HOWTO/html_single/8021X-HOWTO/
• https://help.ubuntu.com/community/Network802.1xAuthentication

NAC सर्वर के लिए:

• PacketFence
• OpenNAC
• FreeNAC (वर्तमान में यह परियोजना केवल रखरखाव में है, सक्रिय विकास नहीं)

मान लें कि आपके पास VLANs चलाने में सक्षम स्विच नहीं हैं, तो आप प्रलेखन में वर्णित इन-लाइन मोड में PacketFence के साथ जाना चाह सकते हैं। यह ipsetयातायात को अनुमति देने के लिए फ़ायरवॉल नियमों को संशोधित करने के लिए उपयोग करता है, लेकिन विशिष्ट टोपोलॉजी पृथक्करण (मेजबानों से अलग खंड पर DNS) की आवश्यकता होती है। PacketFence उपयोग कर सकते हैं कि स्विच यहाँ सूचीबद्ध हैं

सुधार !: लिनक्स देखने में arp-table को प्रबंधित करने का एक और अंतर्निहित तरीका है man 5 ethers। आप इस के आधार पर तालिका को अद्यतन करने के ethernet ipलिए /etc/ethersतब चलाने के arp -fलिए प्रविष्टियों को जोड़ते हैं । अधिक विस्तृत man arpविवरण के लिए विवरण देखें, और http://gwallgofi.com/static-arp-linux/ ।

static-arp.confArp टेबल के बारे में अपने विशिष्ट प्रश्न का उत्तर देने के लिए, एक फाइल कॉन्टेक्टिंग एंट्री करें जैसे:

10.0.0.6 00:0c:29:c0:91:bf
10.0.0.7 00:0c:29:c0:92:bf
10.0.0.8 00:0c:29:c0:93:bf
10.0.0.9 00:0c:29:c0:94:bf

तो भागो:

while read -u 10 arpentry ; do arp -s $arpentry ; done 10<static-arp.conf

किसी कारण से काम नहीं हुआ, और मुझे फ़ाइल डिस्क्रिप्टर को सेटअप करने के लिए रीड -यू पर स्विच करना पड़ा, निश्चित नहीं कि क्यों ... लेकिन इसमें प्रविष्टियों को सूचीबद्ध के रूप में जोड़ा गया। फिर आप nfs, git, rsync, आदि के माध्यम से जो चाहें, वितरित कर सकते हैं ।for I in cat static-arp.confstatic-arp.conf

व्लांस शायद एक बेहतर विचार होगा। लिनक्स-शुद्ध वलान उपयोग में जानकारी यहां स्थित है ।

क्या आप इस तरह से कुछ सरल खोज रहे हैं?

iptables-फॉरवर्ड एम-मैक-सोर्स 00: 01: 11: 11: 11: 11 -j ACCEPT

इस तरह आप इंटरनेट तक पहुँचने के लिए केवल अनुमत मैक पते सेट कर सकते हैं (आप आईपी पते को भी शामिल कर सकते हैं और आपको बनाए रखने के लिए सबसे अच्छी स्क्रिप्ट की आवश्यकता होगी)। टिप्पणियों में अन्य समाधान पहले से ही चर्चा में थे।

संपादित करें: मैं नकार को हल करने में असमर्थ था (काम नहीं किया), लेकिन आप ऐसा कर सकते हैं:

iptables -P FORWARD DROP

iptables-FOR FORARD -s 192.168.1.1 -m mac --mac-source 00: 01: 02: 03: 04: 05 -j ACCEPT

"क्या यह नियम 192.168.1.1 से आए सभी पैकेट को गिराता है और अलग-अलग मैक है जो एक नियम में लगाया गया है" मुझे लगता है कि यह वही है जो आपने पूछा था।

कुछ परिवर्तन नोट करें - "लापता!" और "-p tcp" - जो केवल tcp पैकेट गिराएगा।

नोट 2: याद रखें कि विभिन्न मैक के साथ उल्लिखित आईपी पता अभी भी उदाहरण के लिए राउटर को पिंग करने में सक्षम होगा। यह रोकने के लिए कि आपको INPUT श्रृंखला में समान करने की आवश्यकता है।

मैंने परीक्षण किया है और यह काम कर रहा है

iptables-FOR FORARD -s 192.168.1.1 -m mac! --मैक-स्रोत ००: ०१: ०२: ०३: ०४: ०५ -जे डीआरओपी

ड्रॉप अगर पैकेट उस आईपी से एक अलग मैक के साथ आया जैसा कि नियम में दर्ज किया गया है। एकमात्र समस्या यह है कि मुझे मैन्युअल रूप से प्रत्येक आईपी को जोड़ना होगा जो मुझे "सुरक्षा" करना है। अभी के लिए मेरे पास केवल 2 हैं

*A illusion of protect since exist MAC spoofing वैसे भी यह उपयोगकर्ताओं को हतोत्साहित करता है