Ovidiu wrote: >Cred e un subiect indelung discutat, dar pt. un newbie in linux si pe >acest forum nu e :) >Care metoda din cele doua e mai buna si mai ales de ce pt filtare IP+MAC >intr-o retea unde doar unii trebuie sa iasa pe net: > >1) iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.1 -m >mac --mac-source X:XX:XX:XX:XX:XX -j ACCEPT >2) iptables -A FORWARD -i eth1 -s 192.168.0.1 -m mac --mac-source >XX:XX:XX:XX:XX:XX -j ACCEPT > >In ambele variante am pus policy DROP pentru lantul respectiv. > >Multumesc anticipat >
Variante care sa obtina mai mult sau mai putin acelasi efect sint multe. Una ar fi sa folosesti arp statice (ceea ce presupune in principiu definirea intr-un fisier a listei de perechi IP/MAC acceptate precum si configurarea linuxului sa nu invete dinamic altele). Alta se bazeaza pe utilizarea ebtables (linuxul configurat ca bridge) sau iptables (linuxul configurat ca router). Pentru ultima varianta, teoria purista zice ca filtrarile sa se faca in tabela filter (eventual in mangle), tabela nat fiind in principiu destinata operatiunilor de tip NAT (SNAT/DNAT/MASQ/etc). Evident insa ca se pot face filtrari si in tabela nat. Diferenta intre cele 2 reguli enuntate de tine este ca a doua nu ii permite decit lui 192.168.0.1 trecerea pachetelor prin router, dar permite si accesul la resursele puse de router la dispozitie. Cu policy implicit DROP, prima regula impiedica accesul inclusiv la resursele puse de router la dispozitie (ca de pilda un proxy, un file server local, etc). Ca observatie, personal as fi pus regulile respective in tabela mangle, deoarece este prima parcursa de catre pachete pe parcursul plimbarii lor prin kernel. (E mai efi cient sa filtrezi cit mai devreme, ca sa micsorezi numarul de pachete prelucrate inutil). In practica apar si alte considerente, de pilda in tabela mangle se pot face diverse marcari de pachete (de pilda pentru garantari de banda) si poate fi de dorit sa nu se amestece regulile prea tare, in care caz filtrele se pot pune in -t filter. Un "iptables -L -t mangle" va arata regulile de marcare, pe cind "iptables -L" va arata regulile de filtrare. Dar repet, depinde mult de cine face managementul regulilor si de cum sint acestea scrise si corelate intre ele. --- Detalii despre listele noastre de mail: http://www.lug.ro/
