Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: stenliq 12 Června 2010, 00:49:05

Název: FTP server, omezení dle mac adres - výjimka
Přispěvatel: stenliq 12 Června 2010, 00:49:05

Zdravím,
provozuji domácí FTP server, který bych chtěl mít přístupný z více PC a zpřístupnit i známým.

Filtruji tedy přístupy přes MAC adresu (aby známí mohli přistupovat pouze ze svých PC - falzifikaci neberme v potaz :))).

Pro sebe a případně další lidi bych ale chtěl zavést připojení bez omezení na MAC - abych mohl přistupovat odkudkoli. A tady jsem v koncích. Filtrování je jednoduché pravidlo v iptables:

Kód: [Vybrat]

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPTAle jak udělat výjimku? Např. aby se uživatel stenliq mohl připojit odkudkoli?

Díky za případné náměty.

Název: Re: FTP server, omezení dle mac adres - výjimka
Přispěvatel: ETNyx 13 Června 2010, 11:50:05

Dobrý den,

doufám, že to popíšu tak aby se to dalo pochopit. V iptables zakážete všechna spojení a port pro komunikaci ftp přesměrujete na lokalni web server. Na lokálním servru bude cgi skriptík který si vyžádá heslo po ověření podle IP zjistí MAC (toto jsem dělal podle leases od DHCP vy by jste mohl použit arp) a tu potom přes iptables povolí. Následně musíte čas od času (pravděpodobně cronem) smazat chain s povolenýma MAC adresama. Samozřejmně můžete mít již v defalutním nastavení ručně vložené MAC adresy. (Takto jsem měl jeden čas řešenou Wi-Fi).

Nicméně si nemyslím, že je to dobrý způsob (obecně MAC adresy). Pokud vím tak jde zjistit pouze MAC adresa zařízeních připojených do první brány (routeru, prostě pouze v jednom segmentu sítě, v prvním hopu). Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Název: Re: FTP server, omezení dle mac adres - výjimka
Přispěvatel: Martin Šácha 13 Června 2010, 11:54:27

Citace: ETNyx  13 Června 2010, 11:50:05

Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Název: Re: FTP server, omezení dle mac adres - výjimka
Přispěvatel: ETNyx 13 Června 2010, 12:40:54

Citace: sachy  13 Června 2010, 11:54:27

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Můžete to nějak více rozvést? Pokud se v tomto případě bavíme o routeru tak nám jde o domáci použití. V 99% případů půjde o internetové brány a ty jsou založeny práve na NAT. Takže pokud přijde spojení zkz domácí router (internetovou bránu) jak zjistím MAC adresu řekněme "PING forum.ubuntu.cz (217.31.205.114)" ?

Název: Re: FTP server, omezení dle mac adres - výjimka
Přispěvatel: Martin Kiklhorn 14 Června 2010, 00:39:08

Citace: sachy  13 Června 2010, 11:54:27

Citace: ETNyx  13 Června 2010, 11:50:05

Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Obecný router právě mac adresy požírá. Nepleťte si to se switchem, ten pracuje na linkové vrstvě.