MAC-Filter

tomml

Neuer User
Mitglied seit
17 Nov 2011
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hab auf meine Fritzbox 7050 Freetz mit iptables installiert.
Hintergrund ist der, dass ich gerne einen MAC-Filter setzen möchte für LAN und WLAN, um auch wirklich nur den Rechnern den Internetzugang zu ermöglichen von denen ich auch die MAC adressse habe... Ich stoße allerdings auf folgende Probleme:


Ich habe ein Script in /var/flash abgelegt mit folgendem Inhalt:

iptables -P INPUT DROP
iptables -A INPUT -m mac --mac-source [MAC-ADRESSE] -j ACCEPT


Wenn ich dies ausführe kann ich zwar weiter auf der Shell arbeiten, kann aber per Webbrowser nicht auf Internetseiten zugreifen (warum auch immer -.-)

Ich habe folgendes auch schon versucht:

iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -j DROP

Das funktioniert soweit, aber sobald mehrere MAC-Adresse zusammenkommen, funktioniert es nicht mehr.


Könnt ihr mir helfen?


gruß
tomml
 
sobald mehrere MAC-Adresse zusammenkommen, funktioniert es nicht mehr.
Konkret hast Du was gemacht, und welches Ergebnis kam dabei heraus?

Ich würde Dir empfehlen, die Beschreibung zu iptables mal durchzulesen.

So wie es aussieht, kommen die Paketen zum dsld durch INPUT herein, was auch nachvollziehbar ist, wenn man bedenkt, dass dsld kein conntrack verwendet.
 
ich hab' es mittlerweile selbst gelöst...
zwar auf eine, meiner meinung nach, unschöne art und weise.. aber es funktioniert:

iptables -A INPUT -m mac ! --mac-source [MAC-ADRESSE] -m mac ! --mac-source [MAC-ADRESSE] .... -j DROP

der befehl wird bei einiges mac-adresse zwar sehr lang und unübersichtlich, aber es funktioniert :)


gruß
tomml
 
Hallo,

nur damit ich das richtig verstehe:
Möchtest Du das Ganze in einer Art "Whitelist"- oder "Blacklist"-Mechanismus gestalten ?
Sprich: Möchtest Du die Dir bekannten Mac-Adressen explizit zulassen und alle anderen Droppen ?
Oder (fast) alles zulassen und nur bestimmte droppen ?
Grüße,

JD.
 
Instead of adding block rules to input chain, I would add them to forward chain.
In your config, even DHCP might not work for unauthorised clients, giving them no access to local stuff like NAS
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.