.titleBar { margin-bottom: 5px!important; }

MAC-Filter

Dieses Thema im Forum "Freetz" wurde erstellt von tomml, 17 Nov. 2011.

  1. tomml

    tomml Neuer User

    Registriert seit:
    17 Nov. 2011
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich hab auf meine Fritzbox 7050 Freetz mit iptables installiert.
    Hintergrund ist der, dass ich gerne einen MAC-Filter setzen möchte für LAN und WLAN, um auch wirklich nur den Rechnern den Internetzugang zu ermöglichen von denen ich auch die MAC adressse habe... Ich stoße allerdings auf folgende Probleme:


    Ich habe ein Script in /var/flash abgelegt mit folgendem Inhalt:

    iptables -P INPUT DROP
    iptables -A INPUT -m mac --mac-source [MAC-ADRESSE] -j ACCEPT


    Wenn ich dies ausführe kann ich zwar weiter auf der Shell arbeiten, kann aber per Webbrowser nicht auf Internetseiten zugreifen (warum auch immer -.-)

    Ich habe folgendes auch schon versucht:

    iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -j DROP

    Das funktioniert soweit, aber sobald mehrere MAC-Adresse zusammenkommen, funktioniert es nicht mehr.


    Könnt ihr mir helfen?


    gruß
    tomml
     
  2. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Konkret hast Du was gemacht, und welches Ergebnis kam dabei heraus?

    Ich würde Dir empfehlen, die Beschreibung zu iptables mal durchzulesen.

    So wie es aussieht, kommen die Paketen zum dsld durch INPUT herein, was auch nachvollziehbar ist, wenn man bedenkt, dass dsld kein conntrack verwendet.
     
  3. tomml

    tomml Neuer User

    Registriert seit:
    17 Nov. 2011
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ich hab' es mittlerweile selbst gelöst...
    zwar auf eine, meiner meinung nach, unschöne art und weise.. aber es funktioniert:

    iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -m mac ! --mac-source [MAC-ADRESSE] .... -j DROP

    der befehl wird bei einiges mac-adresse zwar sehr lang und unübersichtlich, aber es funktioniert :)


    gruß
    tomml
     
  4. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich nehme mal an, dass Du weisst, dass sich MAC-Adressen recht einfach ändern lassen.
     
  5. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hallo,

    nur damit ich das richtig verstehe:
    Möchtest Du das Ganze in einer Art "Whitelist"- oder "Blacklist"-Mechanismus gestalten ?
    Sprich: Möchtest Du die Dir bekannten Mac-Adressen explizit zulassen und alle anderen Droppen ?
    Oder (fast) alles zulassen und nur bestimmte droppen ?
    Grüße,

    JD.
     
  6. DualIP

    DualIP Neuer User

    Registriert seit:
    26 Juni 2011
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Instead of adding block rules to input chain, I would add them to forward chain.
    In your config, even DHCP might not work for unauthorised clients, giving them no access to local stuff like NAS