Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: FTP server, omezení dle mac adres - výjimka  (Přečteno 2170 krát)

stenliq

  • Návštěvník
  • Příspěvků: 81
FTP server, omezení dle mac adres - výjimka
« kdy: 12 Června 2010, 00:49:05 »
Zdravím,
provozuji domácí FTP server, který bych chtěl mít přístupný z více PC a zpřístupnit i známým.

Filtruji tedy přístupy přes MAC adresu (aby známí mohli přistupovat pouze ze svých PC - falzifikaci neberme v potaz :))).

Pro sebe a případně další lidi bych ale chtěl zavést připojení bez omezení na MAC - abych mohl přistupovat odkudkoli. A tady jsem v koncích. Filtrování je jednoduché pravidlo v iptables:
Kód: [Vybrat]
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPTAle jak udělat výjimku? Např. aby se uživatel stenliq mohl připojit odkudkoli?

Díky za případné náměty.
Case: Fractal Design Define R2
CPU: AMD Phenom II X4 965 Black Edition
MB: Asus M4A89GTD PRO/USB3 RAM: 4GB DDR3, 1333 MHz GPU: MSI R5770 HDD: WD Caviar Blue 320 GB (Windows 7 + Archlinux)

ETNyx

  • Aktivní člen
  • *
  • Příspěvků: 425
Re: FTP server, omezení dle mac adres - výjimka
« Odpověď #1 kdy: 13 Června 2010, 11:50:05 »
Dobrý den,

doufám, že to popíšu tak aby se to dalo pochopit. V iptables zakážete všechna spojení a port pro komunikaci ftp přesměrujete na lokalni web server. Na lokálním servru bude cgi skriptík který si vyžádá heslo po ověření podle IP zjistí MAC (toto jsem dělal podle leases od DHCP vy by jste mohl použit arp) a tu potom přes iptables povolí. Následně musíte čas od času (pravděpodobně cronem) smazat chain s povolenýma MAC adresama. Samozřejmně můžete mít již v defalutním nastavení ručně vložené MAC adresy. (Takto jsem měl jeden čas řešenou Wi-Fi).

Nicméně si nemyslím, že je to dobrý způsob (obecně MAC adresy). Pokud vím tak jde zjistit pouze MAC adresa zařízeních připojených do první brány (routeru, prostě pouze v jednom segmentu sítě, v prvním hopu). Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.


jabber: etnyx@jabbim.cz

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re: FTP server, omezení dle mac adres - výjimka
« Odpověď #2 kdy: 13 Června 2010, 11:54:27 »
Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

ETNyx

  • Aktivní člen
  • *
  • Příspěvků: 425
Re: FTP server, omezení dle mac adres - výjimka
« Odpověď #3 kdy: 13 Června 2010, 12:40:54 »
Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Můžete to nějak více rozvést? Pokud se v tomto případě bavíme o routeru tak nám jde o domáci použití. V 99% případů půjde o internetové brány a ty jsou založeny práve na NAT. Takže pokud přijde spojení zkz domácí router (internetovou bránu) jak zjistím MAC adresu řekněme "PING forum.ubuntu.cz (217.31.205.114)" ?
jabber: etnyx@jabbim.cz

Martin Kiklhorn

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Závislák
  • ******
  • Příspěvků: 4807
  • グーグル!ご存知ですか?
    • HEJ
Re: FTP server, omezení dle mac adres - výjimka
« Odpověď #4 kdy: 14 Června 2010, 00:39:08 »
Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.
Obecný router právě mac adresy požírá. Nepleťte si to se switchem, ten pracuje na linkové vrstvě.
Jsou ve vašem dotazu OPRAVDU VŠECHNY vám dostupné informace o problému?
Linux user since 2007-10-11, Registered #456007
Virtual
| Distribuce
~/slozka znamená /home/"vase jmeno"/slozka
6521 69DE 0F34 FCBC FB1D  DE76 360E 52B2 F71A B8E8

 

Provoz zaštiťuje spolek OpenAlt.