linux的MAC问题!!!

guojiujin · 发表于 2006-3-13 10:54:35

Linux下客户端MAC地址控制
一、方法：
　　 1。iptables -t nat -P PREROUTING DROP
　　 # 检查IP地址为192.168.1.25/32的用户的MAC地址。如果与指定的MAC地址不匹配，
　　说明源自192.168.1.25的包并不是从该网卡上发出的，即是非法用户，就应当丢弃这些包。
　　 2。iptables -t nat -A PREROUTING -s 192.168.1.25 -m mac -mac-source ! 00:02:01:50:bb:53 -j DROP
　　 # 如果MAC地址匹配，包才能到达这里，并被允许通过。
　　 3。iptables -t nat -A PREROUTING -s 192.168.1.25 -j ACCEPT
我运行了第2步。他出现这样一个错误：
iptables V1.2.8:couldn't load math 'ac-source' lib/iptables/libipt-ac-sorce so.connot open shared-object file:no such file or directory
直接运行第3步没有出现错识，但是那台客户机还不能上INT网。只能打开侨泰网站。我没有从第一步开始运行，担心公司里的所有计算机都不能上INT网。
我哪个地方写错了，谢谢你了!!!!!!

gucuiwen · 发表于 2006-3-13 11:29:16

你的内核里没有编译进去ipfilter 关于 MAC 访问控制的功能模块.需要重新编译内核,把相应的功能加进去.

另外,你到底是做NAT,还是端口映射? 怎么加在了 PREROUTING 链里面?做NAT 应当加在POSTROUTING 里才对啊 .

还有,用iptables防火墙设置过滤的话,过滤规则应该加在filter 表中，不应该加在nat表中，加在nat表中虽然也可以实现对应的功能,但是效率会严重降低.

最后,你所要实现的MAC访问控制的最好方法不是用netfilter/iptables,而是用arp进行MAC地址控制.即不用自动探测到的ARP表,而手动建立一个IP/MAC对应关系表,默认情况下这个文件是/etc/ethers

格式:
IP <空格> MAC <空格>
IP2 <空格> MAC2 <空格>
...

使用这个文件中描述的IP/MAC对应关系:
arp -f /etc/ethers

这样,所有盗用别人IP的非法用户都连不上网关,上不了internet

guojiujin · 发表于 2006-3-13 11:48:00

谢谢你的关心，现在我运行arp，能看到IP MAC 一对一的关系的，但是我想再加入一个
IP MAC，怎么样加入进入呢？我运行 arp -f 提示为：cannot open etherfile /etc/ethers !。是为什么？

gucuiwen · 发表于 2006-3-13 12:12:17

/etc/ethers 文件在有些linux系统下默认不存在,自己建一个就可以了。
关于ethers文件的格式可以man ethers来查看.

你把用arp 看到的IP/MAC对应关系加到ethers文件中,要加其他的,也都可以加进入
然后再运行arp -f /etc/ethers 系统就读取了新的IP/MAC对应关系，而不再用ARP协议自动探测IP/MAC的对应关系,这样就有效的防止了IP盗用问题.

guojiujin · 发表于 2006-3-13 12:32:54

我也是才学这个系统，刚到这里上班就叫我打开一个网卡叫它上网，我真的是一点都不了解谢谢你！！
　　现在我要把192.168.0.77　00：50:BA:19:C3:1D 这个网卡能上INT网，
　　我们公司已经设好了，现在就把上面的IP MAC加入进就可以了，
我用arp 查看的信息为：
192.168.0.77 ether　00：50:BA:19:C3:1D C eth1
它现在不能上网，我怎样做才能使它上INT网，
能说细一点更好，谢谢你!!

guojiujin · 发表于 2006-3-13 16:53:46

我的问题还没有好，大家来帮帮我吗？为什么看的哪么多人就是没有留言的？

		自动登录	找回密码
密码			注册