Ich möchte in meinem privaten Netz einen ganzen Mac-Bereich sperren:
Netfilter Matches kann offenbar immer nur eine mac, oder kann man irgendwelche wildcards nutzen:
iptables -A sperre -m mac --mac-source fc:d8:48:**:**:** -j DROP
**:**:** = 00:00:00 - FF:FF:FF
Geht das irgendwie? Aus der helpseite werde ich nicht schlau und bei netfilter.org, bin ich auch noch nicht fündig geworden
Danke im Voraus
iptables: Bereich von Mac-Adressen sperren.
Re: iptables: Bereich von Mac-Adressen sperren.
Blacklisting ist in diesem Fall extrem uneffizient.Kermit24 hat geschrieben:Ich möchte in meinem privaten Netz einen ganzen Mac-Bereich sperren:
Warum stellts du nicht eine Whitelist auf, in der du die erlaubten Macs inträgst?
Nein, Wildcars geht nicht, wäre bei Mac-Adressen auch nicht besonders sinnvoll.Netfilter Matches kann offenbar immer nur eine mac, oder kann man irgendwelche wildcards nutzen:
Ganze Mac-Bereiche auszuschliessen würde Hersteller bestimmter Netzwerkchips betreffen, willst du das wirklich? Davon abgesehen kann man bei fast jeder Netzwerkkarte von aussen eine Mac-Adresse setzen, so daß deine Blacklist einfach umgehbar ist.
Re: iptables: Bereich von Mac-Adressen sperren.
Statt iptables kannst Du arptables verwenden und mit arptables kann man eine "filter mask" verwenden.Kermit24 hat geschrieben: Geht das irgendwie?
Aus der manpage:
Code: Alles auswählen
--source-mac [!] address[/mask]
The source mac address. Both mask and address are written as 6 hexadecimal numbers separated by colons.
--destination-mac [!] address[/mask]
The destination mac address. Both mask and address are written as 6 hexadecimal numbers separated by colons.
(bzw. gleichwertig).
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: iptables: Bereich von Mac-Adressen sperren.
Das sehe ich anders. Whitelists sind weitestgehend sinnlos. Da man ja die gewithelisteten MACs sieht.MSfree hat geschrieben:Warum stellts du nicht eine Whitelist auf, in der du die erlaubten Macs inträgst?
Sinnvoll ist lediglich die MACs zu schützen, die schon im Netz sind. Und blacklists, sind da ein intuitiver Weg.
Zuerst dachte ich, du kannst da auf jeden Fall mit irgend welchen Bifeldern machen.Kermit24 hat geschrieben:Geht das irgendwie?
Problem ist aber dass iptables eigentlich erst ab der Länge des IP-Headers anfängt zu zählen. Ist halt eigentlich iptables und entsprechend auf IP-Pakete angelegt. Und die sind halt im Ethernet Paket. Und teil von dem. Nicht umgekehrt.
Sinnvoll wäre wohl eigentlich ebtables. Das geht aber nur auf bridge devices. (Du kannst aber ein Bridge device erzeugen aus alleine deinem eigenen Device erzeugen.)
Daneben gibt es wohl noch arptables.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: iptables: Bereich von Mac-Adressen sperren.
OK 0 ist bei der länge des IP-Paketes. Es ist aber wohl möglich negative Zahlen zu nutzen.
Quelle: http://boerde.lists.lartc.narkive.com/G ... -u32-match
Untagged müsste das dann das geben:
Eventuell noch mit beliebigen Edinaness- und Zählfehlern
Quelle: http://boerde.lists.lartc.narkive.com/G ... -u32-match
Untagged müsste das dann das geben:
Code: Alles auswählen
iptables -A INPUT -m u32 --u32 '-8&0xFFFFFF00=0xfcd84800' -j DROProt: Moderator wanne spricht, default: User wanne spricht.
Re: iptables: Bereich von Mac-Adressen sperren.
und falschen offsets ... klingt nach ner guten Methode sich mit Anlauf in den Fuß zu ballern.
Re: iptables: Bereich von Mac-Adressen sperren.
Habe ja eventuell Zählfehler genannt. Könntest du dann gleich die richtigen nennen?eggy hat geschrieben:und falschen offsets ...
Ja. Ich denke schönere Methoden sind durchaus willkommen.eggy hat geschrieben:klingt nach ner guten Methode sich mit Anlauf in den Fuß zu ballern.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: iptables: Bereich von Mac-Adressen sperren.
Nochmal nachgezählt:
0: Wäre die Länge -2
-2: TOS -1
-3: Header length -½
-3.5: Version -½
-4: Ethertype -2
-6: Source MAC -2
-8: Die ersten 32bit der MAC
& FFFFFF00: die ersten 3 Byte der MAC und die müssen =fcd848
Wo liege ich falsch?
Edit: obersten ist eher falsch. Habe das mal in ersten umgewandelt, Weil die MAC ja big endian ist.
0: Wäre die Länge -2
-2: TOS -1
-3: Header length -½
-3.5: Version -½
-4: Ethertype -2
-6: Source MAC -2
-8: Die ersten 32bit der MAC
& FFFFFF00: die ersten 3 Byte der MAC und die müssen =fcd848
Wo liege ich falsch?
Edit: obersten ist eher falsch. Habe das mal in ersten umgewandelt, Weil die MAC ja big endian ist.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: iptables: Bereich von Mac-Adressen sperren.
@wanne: das ging nicht gegen Dich bzw gegen Dein konkretes Beispiel, sondern gegen den Ansatz im Allgemeinen, basierend auf der Grundannahme "die Schichten können sich nicht drauf verlassen, was unter und über ihnen ist". Ich dachte an abweichende darunterliegende Protokolle bzw optionale Felder. Ich kann mich irren, aber würde annehmen, dass man auf die Nase fällt sobald VLAN-Tags im Spiel sind.
Re: iptables: Bereich von Mac-Adressen sperren.
eggy hat geschrieben:dass man auf die Nase fällt sobald VLAN-Tags im Spiel sind.
Sonst musst du nochmal 2 Kleiner.wanne hat geschrieben:Untagged
Und wenn du was nicht Ethernet mäßiges hast hast du eventuell gar keine MAC Addresse…
rot: Moderator wanne spricht, default: User wanne spricht.
Re: iptables: Bereich von Mac-Adressen sperren.
@wanne: Kannst Du garantieren, dass eine Kiste nur untagged/optinalfeldfreie Pakete zu sehen bekommt?