Hello Guest, if you reading this it means you have not yet registered. Please take a second to Click here to register and in a few simple steps, you will be able to enjoy all the many features of our fine community. Please note that nicknames are prohibited lewd or meaningless (no numbers or letters at random) and introduce yourself in the section for you to meet our community.
[howto] Shorewall With Maclist
Pokaż wyniki od 1 do 4 z 4

Temat: [howto] Shorewall With Maclist

  1. #1
    Avatar motto
    motto jest nieaktywny Jaskółka Europejska
    Mężczyzna
    Dystrybucja: Debian GNU/Linux
    Dołączył
    Oct 2003
    Skąd
    Włocławek
    Wiek
    40
    Postów
    939
    Wątków
    101
    Siła Reputacji
    31
    Reputacja
    1

    Thumbs down

    Kolega się pytał jak odciąć od netu, czy też inaczej jak udostępnić net tym którym chcemy. Po zapoznaniu się z "instrucją" shorewalla uzyskłałem więcej niż chciałem. Na wstępie powiem, iż zakładam, że masz skonfigurowane udostępnianie połączenia internetowego w MDK, np. przy pomocy # drakgw (udostępniania połączenia internetowego to temat nie poruszony w tym wątku, ja tu opiszę tylko jak przerobić taką konfigurację, aby dostęp do serwra - w tym udostępniania netu - z LAN'u mieli tylko wybrani uzytkownicy). Metoda ta skutecznie ochroni sieć przed tzw. "podpinkami", zmusi do płacenia współużytkowników gdyż żadna niezarejestrowana (lub zahaszowana) osoba (karta sieciowa) w pliku /etc/shorewall/maclist nie będzie miała dostępu do usług serwera (wszystkich). Zatem do dzieła.

    W /etc/shorewall/shorewall.conf zmieniamy stosowne linie, aby wyglądały tak:
    Kod:
    (...)
    MACLIST_DISPOSITION=REJECT
    MACLIST_LOG_LEVEL=info
    (...)
    Następnie w /etc/shorewall/interfaces
    Kod:
     #ZONE  INTERFACE    BROADCAST    OPTIONS
    net   eth0      detect
    loc   eth1      detect  maclist
    aby na końcu w /etc/shorewall/maclist podać
    Kod:
     #INTERFACE       MAC           IP ADDRESSES (Optional)
    eth1          00:A0:CC:A2:0C:A0    192.168.3.7   
    eth1          00:04:5a:fe:85:b9    192.168.3.4
    Adresy mac kart uzyskamy dzięki użyciu polecenia arp (polecam # man arp). Pozostaje nam jeszcze
    Kod:
    service shorewall restart
    i jeśli używamy shaperd'a następnie
    Kod:
    service shaperd restart
    bo po każdym restarcie shorewalla należy zrestartować shperd'a. Co uzyskujemy w efekcie? Ano to, że jeśli nie będzie się zgadzało IP + mac z wpisem w maclist (lub je zahaszujemy, bo gość nie płaci...) to użytkownik nie nie będzie miał dostępu do naszego serwera (w tym do udostępniania internetu). Za to my w logach (dmesg) będziemy widzieć radosne wpisy podobne do tych poniżej:
    Kod:
    Shorewall:eth1_mac:REJECT:IN=eth1 OUT=eth0 SRC=192.168.24.44 DST=194.204.152.34 LEN=68 TOS=0x00 PREC=0x00 TTL=127 ID=26595 PROTO=UDP SPT=1074 DPT=53 LEN=48
    Dziękuję za uwagę i proszę o przyklejenie wątku.

    ps. oczywiście skrypt staticarp już do niczego nie jest potrzebny, bo i po co nam on teraz? Za to przydałoby się dhcpd skonfigurować, aby według mac'a nadawał IP. Jak co, mogę szybciutko tą procedurę opisać poniżej. Są chętni?
    Ostatnio edytowane przez suncez ; 31.10.2010 o 17:10
    Tomasz 'motto' Motyliński
    Linux jest dla leniwych, raz zainstalowany działa wiecznie

  2. Panna Google
    Panna Google jest aktywna
    Avatar Panny Google

    Dołączył
    01-05-2004
    Skąd
    Internet
    Postów
    999
    Pochwał
    159

    Nie lubisz reklam? Zarejestrowani ich nie widzą! Rejestracja





  3. #2
    Avatar Druciak
    Druciak jest nieaktywny Gold Member
    Dystrybucja: 2.0 PLD Linux (Ac)
    Dołączył
    May 2003
    Skąd
    Warszawa
    Postów
    1,537
    Wątków
    48
    Siła Reputacji
    38
    Reputacja
    71
    Ja akurat nie jestem zainteresowany, nie mniej jednak proponowal bym ten opis zamiescic w FAQ na stronie http://mandrake.int.pl/

    Chyba po to miala ta strona powstac prawda
    Motto trzeba od razu tam wpisywac te wszystkie howto.





  4. #3
    Avatar motto
    motto jest nieaktywny Jaskółka Europejska
    Mężczyzna
    Dystrybucja: Debian GNU/Linux
    Dołączył
    Oct 2003
    Skąd
    Włocławek
    Wiek
    40
    Postów
    939
    Wątków
    101
    Siła Reputacji
    31
    Reputacja
    1
    Originally posted by P-o-u-L@Jul 25 2004, 09:13 PM
    Ja akurat nie jestem zainteresowany, nie mniej jednak proponowal bym ten opis zamiescic w FAQ na stronie http://mandrake.int.pl/

    Chyba po to miala ta strona powstac prawda
    Motto trzeba od razu tam wpisywac te wszystkie howto.
    Ok to wysyłam do daniela.
    Ostatnio edytowane przez suncez ; 31.10.2010 o 17:11
    Tomasz 'motto' Motyliński
    Linux jest dla leniwych, raz zainstalowany działa wiecznie

  5. #4
    Dołączył
    Aug 2004
    Postów
    3
    Wątków
    1
    Siła Reputacji
    0
    Reputacja
    1

    Red face

    jak by kogos zainteresowalo to tu sa moj opis -> http://forum.infojama.pl/viewtopic.php?t=2...light=shorewall

Informacje o wątku

Users Browsing this Thread

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. Shorewall I Firestarter
    By krzychu32 in forum Bezpieczeństwo
    Odpowiedzi: 3
    Ostatni post / autor: 23.01.2005, 18:06
  2. Shorewall I Logowanie
    By Mroofka_PL in forum Oprogramowanie
    Odpowiedzi: 2
    Ostatni post / autor: 08.01.2005, 00:39
  3. Problem Z Shorewall
    By sq2cet in forum Oprogramowanie
    Odpowiedzi: 0
    Ostatni post / autor: 03.12.2004, 11:03
  4. Samba A Shorewall (uwaga Lamerskie)
    By Choopie in forum Sieć
    Odpowiedzi: 11
    Ostatni post / autor: 12.10.2004, 22:01
  5. Shorewall szwankuje?
    By Hektorek in forum Sieć
    Odpowiedzi: 1
    Ostatni post / autor: 13.12.2003, 13:51

Uprawnienia

  • Nie możesz zakładać nowych wątków
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •