Controle mac adresse sur RED

[minier_gaultier]

Bonjour à tous

J'ai besoin de faire un controle par MAC adresse entrante sur le RED (RED vers GREEN). Lorque je n'utilise pas le controle par mac lors la syntaxe est :

Code: Tout sélectionner

iptables -A FORWARD -i eth1 -p tcp --dport 1503 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Donc je pensais que pour le controle par MAC ca donnera ca mais ca ne marche pas :

Code: Tout sélectionner

iptables -A FORWARD -i eth1 -p tcp --dport 1503 -o eth0 -m mac --mac-source 00.FF.61.00.F0.78 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Est ce que quelqu'un peux me dire pourquoi ?

Merci d'avance

[tomtom]

Tu as une erreur si tu tapes cette ligne ?

Tu as bien le module mac de compilé ?

t.

[jdh]

Il faut bien sur le module "mac" compilé, comme l'indique tomtom, à juste titre, même si ce doit être le cas pour IPCOP.

Mais il faut rappeler que le contrôle d'adresse MAC sur Internet est STRICTEMENT impossible.

Je l'ai déjà écrit dans ce forum de façon (presque) complete :

http://forums.fr.ixus.net/viewtopic.php ... c+internet

[minier_gaultier]

Non pas erreur lorsque je tape ma ligne et si l'execute un controle MAC en sortie sur eth0 vers eth1 alors le blocage MAC marche bien.

J'ai une petite pensée mais c'est possible que ca soit une $%#&!

Je me lance

Lorsqu'un poste d'un réseau local sort sur internet, le routeur NAT l'adresse IP de sortie. Donc quelque soit le poste du réseau à aller sur le net, il y aura tjs ip du routeur.

Est ce qu'il ne se passerait pas la même chose avec la mac adresse ?

[jdh]

En effet l'adresse MAC n'a de sens qu'au sein d'un réseau local.

Dès qu'on franchit un routeur, l'adresse (MAC) est remplacée par celle du routeur.

D'où TOTALE IMPOSSIBILITE de faire un contrôle d'adresse MAC sur Internet.

[minier_gaultier]

Merci pour l'info

Je vais regarder le tout.

Bonne journée

[tomtom]

Bien sur !!!

Ethernet est un protocole de réseau LOCAL et une adresse mac s'utilise LOCALEMENT uniquement.

Tu peux en revanche filtrer coté red, par exemple pour t'assurer que les trames arrivent du routeur de ton FAI, ou à des fins de tests...

Une adresse mac ne franchit jamais un routeur

t.

[fgingat]

Bonsoir ...

Je sais qu'il est plutot conseillé d'ouvrir un autre topic mais ce que je cherche à faire en urgence (je sais que dire en urgence ne le fait pas trop mais un bourrin defonce notre bp en ce moment meme )


Je souhaiterais INTERDIRE le traffic à une adresse mac locale vers l'exterieur que je connais sur l'ipcop mais sans ajout de modules car nous allons tout basculer en adresse bleue dans 3 jours afin d'autoriser ou pas les connexions si le bourrin recidive :p

Une idée ?? :p

EDIt= j'ai essayé

iptables -A FORWARD -i eth0 -p tcp -o eth2 -m mac --mac-source 00.11.95.14.95.af -m state --state NEW,ESTABLISHED,RELATED -j DROP

Car l'adresse mac du gaillard en zone verte (eth0) qui sors en red (eth2) est bien celle la mais il accepte l'entree sur ipcop par ssh ..... mais point de coupure des conexion dans la fenetre connexions de l'ipcop toujours 2000 connections par le bourrin ....

[antolien]

Oui c'est plus du red dont on parle.

mais tu peux remplacer ta règle en remplaçant ta chaine FORWARD par INPUT, et sans préciser ton interface de sortie.

[antolien]

puis si tu veux bloquer tous les flags, ce n'est pas la peine de préciser le "state"

iptables -I INPUT -i eth0 -p tcp -m mac --mac-source 00.11.95.14.95.af -j DROP

(ce n'es que le tcp, il pourra encore faire du dns par exemple)

[fgingat]

Merci Antolien ...

Je viens de decouvrir un addon Timelimit qui me permet de lui squizzer la face sans soucis ..

Mais je met ta regle de cote car je la trouve plus humm comment dire .... Instructive :p


Merci et navré pour la repompe de post mais vu que c'etait lancé sur iptables je m'y suis greffe :p