Hallo zusammen,
ich habe eine etwas speziellere Frage zum Thema IPTABLES und einem Gateway.
Ich habe ein Netzwerk welches ich mittels IPtables absichere.
Jedoch will ich jede MAC Adresse im Netzwerk freischalten müssen. (Billig Variante für PortSecurity)
Aktuell habe ich dazu folgendes IPTABLES Script.
Zusätzlich gibt es jedoch auch noch eine OpenVPN Net2Net Verbindung.
Bei einer solchen OVPN Verbindung wird jedoch nicht die MAC Adresse des Clients übergeben.
Diese Verbindung wird aktuell durch die DROP Regel blockiert.
Beispiel:
Für mich stellt sich die Frage, wie kann ich eine solche Verbindung akzeptieren ohne das ich das tun device oder das ip netz angeben muss.
Kann ich den Parameter --mac-source so verändern, dass eine Verbindung ohne Mac Adresse nicht gedropt wird?
Danke und Grüße
FireMan
ich habe eine etwas speziellere Frage zum Thema IPTABLES und einem Gateway.
Ich habe ein Netzwerk welches ich mittels IPtables absichere.
Jedoch will ich jede MAC Adresse im Netzwerk freischalten müssen. (Billig Variante für PortSecurity)
Aktuell habe ich dazu folgendes IPTABLES Script.
Code:
iptables -N RULES
# Setzte alle Default Chains in das Globale Rule Set
iptables -A INPUT -j RULES
iptables -A OUTPUT -j RULES
iptables -A FORWARD -j RULES
# Erlaube Initierte Verbindungen
iptables -A RULES -m state --state ESTABLISHED,RELATED -j ACCEPT
# Erlaube nur bestimmte MAC Adressen
iptables -A RULES -m mac --mac-source 00:21:6B:12:E3:18 -j ACCEPT
iptables -A RULES -m mac --mac-source 00:21:6B:12:E3:16 -j ACCEPT
iptables -A RULES -m mac --mac-source 00:21:6B:12:E3:12 -j ACCEPT
# Blockiere alle restlichen MAC Adressen
iptables -A RULES -j DROPZusätzlich gibt es jedoch auch noch eine OpenVPN Net2Net Verbindung.
Bei einer solchen OVPN Verbindung wird jedoch nicht die MAC Adresse des Clients übergeben.
Diese Verbindung wird aktuell durch die DROP Regel blockiert.
Beispiel:
Code:
Mar 29 20:42:40 gateway kernel: [2758732.594474] IN=eth1 OUT=tun2 MAC=00:16:5e:71:19:18:00:15:5d:91:19:49:18:00 SRC=192.168.61.18 DST=192.168.21.21 LEN=197 TOS=0x00 PREC=0x00 TTL=127 ID=21924 PROTO=UDP SPT=3389 DPT=57784 LEN=177
Mar 29 20:42:41 gateway kernel: [2758733.065723] IN=tun2 OUT=eth1 MAC= SRC=192.168.21.21 DST=192.168.61.18 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=2754 PROTO=UDP SPT=57784 DPT=3389 LEN=20Für mich stellt sich die Frage, wie kann ich eine solche Verbindung akzeptieren ohne das ich das tun device oder das ip netz angeben muss.
Kann ich den Parameter --mac-source so verändern, dass eine Verbindung ohne Mac Adresse nicht gedropt wird?
Danke und Grüße
FireMan
