MAC-Filter

tomml

Neuer User
Mitglied seit
17 Nov 2011
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hab auf meine Fritzbox 7050 Freetz mit iptables installiert.
Hintergrund ist der, dass ich gerne einen MAC-Filter setzen möchte für LAN und WLAN, um auch wirklich nur den Rechnern den Internetzugang zu ermöglichen von denen ich auch die MAC adressse habe... Ich stoße allerdings auf folgende Probleme:


Ich habe ein Script in /var/flash abgelegt mit folgendem Inhalt:

iptables -P INPUT DROP
iptables -A INPUT -m mac --mac-source [MAC-ADRESSE] -j ACCEPT


Wenn ich dies ausführe kann ich zwar weiter auf der Shell arbeiten, kann aber per Webbrowser nicht auf Internetseiten zugreifen (warum auch immer -.-)

Ich habe folgendes auch schon versucht:

iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -j DROP

Das funktioniert soweit, aber sobald mehrere MAC-Adresse zusammenkommen, funktioniert es nicht mehr.


Könnt ihr mir helfen?


gruß
tomml
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
sobald mehrere MAC-Adresse zusammenkommen, funktioniert es nicht mehr.
Konkret hast Du was gemacht, und welches Ergebnis kam dabei heraus?

Ich würde Dir empfehlen, die Beschreibung zu iptables mal durchzulesen.

So wie es aussieht, kommen die Paketen zum dsld durch INPUT herein, was auch nachvollziehbar ist, wenn man bedenkt, dass dsld kein conntrack verwendet.
 

tomml

Neuer User
Mitglied seit
17 Nov 2011
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
ich hab' es mittlerweile selbst gelöst...
zwar auf eine, meiner meinung nach, unschöne art und weise.. aber es funktioniert:

iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -m mac ! --mac-source [MAC-ADRESSE] .... -j DROP

der befehl wird bei einiges mac-adresse zwar sehr lang und unübersichtlich, aber es funktioniert :)


gruß
tomml
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo,

nur damit ich das richtig verstehe:
Möchtest Du das Ganze in einer Art "Whitelist"- oder "Blacklist"-Mechanismus gestalten ?
Sprich: Möchtest Du die Dir bekannten Mac-Adressen explizit zulassen und alle anderen Droppen ?
Oder (fast) alles zulassen und nur bestimmte droppen ?
Grüße,

JD.
 

DualIP

Neuer User
Mitglied seit
26 Jun 2011
Beiträge
44
Punkte für Reaktionen
0
Punkte
0
Instead of adding block rules to input chain, I would add them to forward chain.
In your config, even DHCP might not work for unauthorised clients, giving them no access to local stuff like NAS
 

Zurzeit aktive Besucher

Keine Mitglieder online.

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,147
Beiträge
2,030,709
Mitglieder
351,529
Neuestes Mitglied
ukuhn