FTP server, omezení dle mac adres - výjimka

[stenliq]

Zdravím,
provozuji domácí FTP server, který bych chtěl mít přístupný z více PC a zpřístupnit i známým.

Filtruji tedy přístupy přes MAC adresu (aby známí mohli přistupovat pouze ze svých PC - falzifikaci neberme v potaz ).

Pro sebe a případně další lidi bych ale chtěl zavést připojení bez omezení na MAC - abych mohl přistupovat odkudkoli. A tady jsem v koncích. Filtrování je jednoduché pravidlo v iptables:

Kód: [Vybrat]

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPTAle jak udělat výjimku? Např. aby se uživatel stenliq mohl připojit odkudkoli?

Díky za případné náměty.

[ETNyx]

Dobrý den,

doufám, že to popíšu tak aby se to dalo pochopit. V iptables zakážete všechna spojení a port pro komunikaci ftp přesměrujete na lokalni web server. Na lokálním servru bude cgi skriptík který si vyžádá heslo po ověření podle IP zjistí MAC (toto jsem dělal podle leases od DHCP vy by jste mohl použit arp) a tu potom přes iptables povolí. Následně musíte čas od času (pravděpodobně cronem) smazat chain s povolenýma MAC adresama. Samozřejmně můžete mít již v defalutním nastavení ručně vložené MAC adresy. (Takto jsem měl jeden čas řešenou Wi-Fi).

Nicméně si nemyslím, že je to dobrý způsob (obecně MAC adresy). Pokud vím tak jde zjistit pouze MAC adresa zařízeních připojených do první brány (routeru, prostě pouze v jednom segmentu sítě, v prvním hopu). Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

[Martin Šácha]

Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

[ETNyx]

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Můžete to nějak více rozvést? Pokud se v tomto případě bavíme o routeru tak nám jde o domáci použití. V 99% případů půjde o internetové brány a ty jsou založeny práve na NAT. Takže pokud přijde spojení zkz domácí router (internetovou bránu) jak zjistím MAC adresu řekněme "PING forum.ubuntu.cz (217.31.205.114)" ?

[Martin Kiklhorn]

Takže pokud půjdou připojení třeba z internetu zkrz router tak budou vždycky označkovány MAC adresou routeru. Pokud se v tomto pletu tak mne prosím někdo opravte.

Obecný router by do IP/MAC adresy neměl zasahovat, záleží jestli je povolena funkce NATu.

Obecný router právě mac adresy požírá. Nepleťte si to se switchem, ten pracuje na linkové vrstvě.