Dinamikus ip-re szûrés VS. iptables

Kezdőlap Fórumok Biztonság Dinamikus ip-re szûrés VS. iptables

7 bejegyzés megtekintése - 1-7 / 7
  • Szerző
    Bejegyzés
  • 2004-07-27-10:15 #1960650
    ds
    Felhasználó

      mac address alapján például

      2004-07-27-10:56 #1960651
      toshy
      Felhasználó

        Ezen mar en is gondolkoztam.

        DE ehez kapcsolodoan nekem is van kerdesem !
        Az arp tablaban nem lattam meg soha mas mac cimet csak a helyi halot es a routert.
        Tehat ha mac cim alapjan csinalunk szurest akkor az iptables latja, az arp meg nem ??
        Egyaltalan latja ?
        Soros porti modemnek is van MAC cime ??

        2004-07-27-12:47 #1960652
        admin
        Adminisztrátor

          Ok, bõvítem a problémát.
          Nem hostokról, hanem hálózatokról van szó, amelyek egy-egy dinamikus ip-vel látszanak kivülre.

          A kérdés átfogalmazva:

          Lehet-e olyan szabályt létrehozni, amiben forrásnak dns név van megadva és az iptables a chain minden egyes lefutásakor feloldja ezt a nevet?

          K

          toshy:

          >>Az arp tablaban nem lattam meg soha mas mac cimet csak a helyi halot es a routert.
          Tehat ha mac cim alapjan csinalunk szurest akkor az iptables latja, az arp meg nem ??<< Ez azért van, mert ha nem a saját alhálódra küldesz csomagot, akkor a keretfejlécbe a gateway router mac címe kerül célcímként. Több hop-os csomagutazásnál úgy mûködik a dolog, hogy a forrás és cél ip a csomag fejlécben változatlan marad, a forrás MAC is a keretfejlécben, viszont a cél MAC mindig a következõ hop-ra (router, vagy a célhost) fog mutatni.
          A következõ hop-ot meg a cél ip alapján határozza meg a router.

          2004-07-27-22:20 #1960653
          trosskydd
          Felhasználó

            Sziasztok!

            Az iptables csak ipvel dolgozik, tehat nem lehet neki beadni egy domain-t, marmint a -s utan lehet, de azt, ha elmented akkor latszik, hogy egybol reverst csinal.

            Amit tehetsz, hogy x orankent kitorlod es ujratoltod az adott iptables lancot vagy lancokat.

            A masik megoldas, hogy vpn-t hozol ossze a munkaallomasok kozott es belsohalos ipcimen eritek el egymast… persze ez csak egy alternativa…

            TrOsSkYdD

            2004-07-28-05:47 #1960654
            toshy
            Felhasználó

              K:
              Ha ez igy van akkor nem ertem a kerdesed, hiszen mar meg van a valasz .
              MAC -re lehet szurest epiteni az iptables -ben !!
              Tehat en igy csinalnam !!
              Persze nem tul biztonsagos 🙁

              2004-07-28-10:21 #1960655
              admin
              Adminisztrátor

                trosskydd : Aha, nekem is a VPN tünik jó megoldásnak, csak gondoltam egy próbát megér. Minden esetre köszi.

                toshy: Mint ahogy már fent említettem, nem gépekrõl, hanem hálózatokról van szó amelyekben több tíz gép szerepet. Az összes MAC-et felvenni a láncba és aztán azt karbantartani, elég õrült ötletnek látszik. ráadásul a hosszú lánc megnövelné a késleltetést.

                K

                2009-12-04-19:56 #1875309
                csaba
                Felhasználó

                  A feladat a következõ:
                  Adott néhány gép dinamikus publikus címmel, amelyekhez tartozik egy-egy dinamikus dns név is: [név].dyndns.org Ezeket kellene átengedni egy iptables alapú tûzfalon.

                  kérdések:
                  Képes erre az iptables?
                  Ha igen, akkor hogyan?

                  Tapasztalat:
                  A DNS feloldás csak a lánc betöltésekor történik meg, ha utánna változik az ip, akkor ezt az iptables nem látja.

                  -=K=-

                • Szerző
                  Bejegyzés
                7 bejegyzés megtekintése - 1-7 / 7
                • Be kell jelentkezni a hozzászóláshoz.