Linux论坛 » 安全/调优 » 请教：iptables怎么使用 MAC地址来限制用户的访问权限

ydwshine 发表于 2006-9-7 09:46

请教：iptables怎么使用 MAC地址来限制用户的访问权限

刚接触LINUX不久，现在公司要在一linux的vpn服务器上做一个用户访问权限的限制，限制对象是vpn对端的用户，公司有自己的大型局域网，还有一个是租用电信线路直接接入互联网，eth0是直接接入互联网，eth1是接入局域网的，vpn对端的用户有一部分是不限制他访问的，还有一部分是不允许访问公司局域网的。现在的问题就是：我如何通过MAC地址来限制一些用户，不让他们访问局域网，请问这样的规则该如何写，添加到哪里最合适呢？？

ydwshine 发表于 2006-9-7 12:05

很急，向高人请教啊！

在eth0上如何限制一个mac访问某个网段，能告诉我正确的语句吗？
我是这样写的：iptables -A FORWARD -o eth0 -m mac -s --mac-source 00:00:00:00:00:00
                    -d 10.0.0.0/8 -j DROP
小第刚接触iptables，很多都还搞不明白，还希望有前辈高手给予指点啊，小弟不甚感激！！

platinum 发表于 2006-9-7 12:08

首先，语法没有使用正确
-m mac -s --mac-source 00:00:00:00:00:00
其中 -s 是什么？后面没有指定源地址，那么就不要写 -s

其次，mac 描述有问题
--mac-source 00:00:00:00:00:00
这是描述的什么 MAC 地址？

ydwshine 发表于 2006-9-7 12:10

谢谢您的指点，我再试试！！万分感谢！

tree 发表于 2006-9-7 14:25

要限制VPN的用户还是局域网的用户呢?

ydwshine 发表于 2006-9-7 15:39

限制vpn 的用户访问局域网

tree 发表于 2006-9-7 15:51

[quote]原帖由 [i]tree[/i] 于 2006-9-7 14:25 发表
要限制VPN的用户还是局域网的用户呢? [/quote]


你限制VPN的用户,能得到VPN用户的MAC吗?

ydwshine 发表于 2006-9-7 16:31

可以得到，我是在对端的VPN服务器上做这个规则，我可以通过交换机查看到MAC地址，然后我想让其中的某个主机不能够通过vpn服务器来访问公司的局域网，只要他能上互联网就好了，所以不能够完全拒绝，只能限制他访问公司局域网的网段，这样可以实现吗？因为使用dhcp自动获取地址，而用户也可以自己指定地址，绕过DHCP，所以ip地址有不确定因素！请前辈赐教，这样能否直接实现对用户的限制！

tree 发表于 2006-9-7 16:49

我不明白

你的结构是什么样的?你在对端的VPN服务器,这个对端是什么意思?是LAN TO LAN吗?

通过SW当然可以得到MAC,但是你有没有想过,VPN用户认证进来的时候带来了MAC的信息吗?

OK,你设置了一个MAC不让访问,但是IPTABLES里面怎么看这个MAC是哪个数据来得?你有想过吗?

ydwshine 发表于 2006-9-7 17:17

不好意思，可能是我表述有问题，我们可以抛开vpn不予考虑，因为我想明白了，我要做的就是让这个用户的数据包还没有到达vpn链路就被丢弃，在服务器上有eth0、eth1、lo、tun0四个网络接口，eth1是接局域网用户，eth0接入互联网，tun0是连接vpn链路的虚拟接口，我要做的就是，让局域网的部分用户禁止通过vpn链路，下面这条语句可以实现吗？
iptables -A FORWARD -o tun0 -s 1.1.1.1 -j DROP
请给予指点，不甚感激！！

tree 发表于 2006-9-7 17:19

那就是说不是VPN的用户,还是局域网的用户,这样做MAC还是可以生效的

至于你说的这个命令,语法不错

platinum 发表于 2006-9-7 20:31

[quote]原帖由 [i]tree[/i] 于 2006-9-7 16:49 发表
我不明白

你的结构是什么样的?你在对端的VPN服务器,这个对端是什么意思?是LAN TO LAN吗?

通过SW当然可以得到MAC,但是你有没有想过,VPN用户认证进来的时候带来了MAC的信息吗?

OK,你设置了一个MAC不让访问 ... [/quote]

VPN 分多种，pptp 的方式确实看不到对方 MAC 的，但 openvpn 的确可以，当初实验的时候我确实还注意过
但我不确定的是，我不知道这个 MAC 是 client 的真实 MAC 还是通过 openvpn 方式虚拟出来的，当时做实验的时候没注意过

ydwshine 发表于 2006-9-8 09:44

感谢两位管理员的耐心指点，但是我在使用了这条语句后，没有成功，用户依然可以通过VPN链路访问过来，设置完了保存退出后还需要重新启动服务吗？还是在虚拟口上设置无效呢？

platinum 发表于 2006-9-8 09:55

你是什么 VPN？pptp 还是 openvpn？
如果是 pptp 的话，我有办法限制一个帐号只能一个用户来登录，MAC 地址没试过

ydwshine 发表于 2006-9-8 10:14

是用的openvpn

platinum 发表于 2006-9-8 10:19

哦，这个我没怎么接触过，没有什么发言权了 :)

tree 发表于 2006-9-8 10:25

openvpn?

如果用OPENVPN的话,直接用U/P模式,然后指定第个用户连接的IP

这样你不就可以控制了?更简单一些

tree 发表于 2006-9-8 10:27

[quote]原帖由 [i]platinum[/i] 于 2006-9-7 20:31 发表


VPN 分多种，pptp 的方式确实看不到对方 MAC 的，但 openvpn 的确可以，当初实验的时候我确实还注意过
但我不确定的是，我不知道这个 MAC 是 client 的真实 MAC 还是通过 openvpn 方式虚拟出来的，当时做实验 ... [/quote]


我没有确定过,但是我觉得即使得到MAC,那也肯定是一个"假"的

ydwshine 发表于 2006-9-8 10:29

U/P模式？？没有接触过，不好意思，我是个新手，能说的明白些吗？谢谢~

tree 发表于 2006-9-8 10:55

你现在的OPENVPN做的是什么?

说白了就是你怎么做?

U/P的模式就是用户名/密码的模式,不过CA模式也行,都一样

查看完整版本: 请教：iptables怎么使用 MAC地址来限制用户的访问权限