44799
Mar 07, 2007, updated at Mar 09, 2007 (UTC)
5045
2
0
Mac-Filterung auf Linux durch iptables?
Hallo zusammen,
wir haben hier einen Proxy Server (Fedora Core) laufen, über den LAN/WLAN laufen und die Mitarbeiter ins Internet können.
Ebenso habe ich hier eine Liste mit den Mac-Adressen der PC's, die sich in unserem Bestand befinden.
Nun zum Problem: Diverse Mitarbeiter bringen ihre privaten Notebooks mit, schließen sich per Kabel an die Switches in den Großraumbüros an, und sind so im Netzwerk und können über den Proxy ins Internet. Das Problem ist, dass diese PC's nicht ins Netzwerk/Internet kommen dürfen, ohne das wir die PCs nicht aufgenommen und überprüft haben.
Daher dachte ich, dass ich vielleicht über die IPTABLES eine Liste mit den Mac-Adressen laden könnte, die zugelassen sind, und die übrigen blocken könnte.
Wäre dies über IPTABLES möglich? Also speziell das Laden einer Liste, und nicht das einzelne manuelle Eintragen der Mac-Adressen.
Vielen Dank.
Mit freundlichen Grüßen,
Robin
wir haben hier einen Proxy Server (Fedora Core) laufen, über den LAN/WLAN laufen und die Mitarbeiter ins Internet können.
Ebenso habe ich hier eine Liste mit den Mac-Adressen der PC's, die sich in unserem Bestand befinden.
Nun zum Problem: Diverse Mitarbeiter bringen ihre privaten Notebooks mit, schließen sich per Kabel an die Switches in den Großraumbüros an, und sind so im Netzwerk und können über den Proxy ins Internet. Das Problem ist, dass diese PC's nicht ins Netzwerk/Internet kommen dürfen, ohne das wir die PCs nicht aufgenommen und überprüft haben.
Daher dachte ich, dass ich vielleicht über die IPTABLES eine Liste mit den Mac-Adressen laden könnte, die zugelassen sind, und die übrigen blocken könnte.
Wäre dies über IPTABLES möglich? Also speziell das Laden einer Liste, und nicht das einzelne manuelle Eintragen der Mac-Adressen.
Vielen Dank.
Mit freundlichen Grüßen,
Robin
Please also mark the comments that contributed to the solution of the article
Content-Key: 53418
Url: https://administrator.de/contentid/53418
Printed on: April 26, 2024 at 13:04 o'clock
2 Comments
Latest comment
@robinzimmermann
Hi,
folgender Eintrag in der squid.conf.....
würde dem Rechner mit der obigen MAC-Adresse den Zugriff erlauben,
allen anderen verweigern, vorrausgesetzt, SQUID wurde mit der
Option -enable-arp-acl übersetzt.
Zur Liste.
Listen werden von SQUID unterstützt. Als Beispiel auf meinem Server:
Die Liste(Datei) internet.src:
Bei dir würde das dann so aussehen:
Die Liste(Datei) mac-adressen:
Diese Version der Zugriffskontrolle habe ich aber selber noch nicht
ausprobiert.
Wurde SQUID mit -enable-arp-acl übersetzt?
An der Eingabe squid -v eingeben.
Grüße
Günni
Hi,
folgender Eintrag in der squid.conf.....
acl client arp 00:0c:04:1a:b2:cf
http_access allow client
http_access deny all
http_access allow client
http_access deny all
würde dem Rechner mit der obigen MAC-Adresse den Zugriff erlauben,
allen anderen verweigern, vorrausgesetzt, SQUID wurde mit der
Option -enable-arp-acl übersetzt.
Zur Liste.
Listen werden von SQUID unterstützt. Als Beispiel auf meinem Server:
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow internet --> Zugriff auf's Internet
http_access deny all --> Alle anderen dürfen nix
http_access allow internet --> Zugriff auf's Internet
http_access deny all --> Alle anderen dürfen nix
Die Liste(Datei) internet.src:
#Format IP-Adresse/Subnetzmaske
192.168.xxx.xx1/255.255.255.255 // Ja, viermal 255 ist richtig!!!!
192.168.xxx.xx2/255.255.255.255
usw.
192.168.xxx.xx1/255.255.255.255 // Ja, viermal 255 ist richtig!!!!
192.168.xxx.xx2/255.255.255.255
usw.
Bei dir würde das dann so aussehen:
acl clients arp "/etc/squid/mac-adressen"
http_access allow clients
http_access deny all
http_access allow clients
http_access deny all
Die Liste(Datei) mac-adressen:
00:0c:04:1a:b2:cf
00:0c:04:1f:b2:cc
00:0c:04:1a:bb:cf
usw.
00:0c:04:1f:b2:cc
00:0c:04:1a:bb:cf
usw.
Diese Version der Zugriffskontrolle habe ich aber selber noch nicht
ausprobiert.
Wurde SQUID mit -enable-arp-acl übersetzt?
An der Eingabe squid -v eingeben.
Grüße
Günni