Hi,
ich suche ein Tool für einen Router, dem ich eine Liste von MAC-Adressen geben kann, die das Netz nutzen dürfen, und das alle anderen Mac's z.B. mittels automatisch generierter Firewall Regeln sperrt. Kennt jemand sowas, oder muss ich selber scripten?
Mac-Adr. sperren
Mac-Adr. sperren
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Re: Mac-Adr. sperren
Hallo!
Für welchen Router brauchst du's denn?
Falls es um WLAN geht: Heutzutage ist das so gut wie bei jedem über das Web-Interface einstellbar.
Falls es um das LAN geht: Da wirst du entweder teure Hardware (Cisco) oder eine Custom-Firmware brauchen. Für den Home-User wird letzteres am ehesten zutreffen.
Zum LAN:
Es gibt zb den WRT54GL (L für Linux
) auf dem man sehr leicht eine andere Firmware installieren kann. Unter anderem:
- DD-WRT
- OpenWRT
- HyperWRT
- Tomato
im Prinzip sollten alle Firmwares MAC-Filter können mit iptables (ist ja Linux).
Für welchen Router brauchst du's denn?
Falls es um WLAN geht: Heutzutage ist das so gut wie bei jedem über das Web-Interface einstellbar.
Falls es um das LAN geht: Da wirst du entweder teure Hardware (Cisco) oder eine Custom-Firmware brauchen. Für den Home-User wird letzteres am ehesten zutreffen.
Zum LAN:
Es gibt zb den WRT54GL (L für Linux
) auf dem man sehr leicht eine andere Firmware installieren kann. Unter anderem:- DD-WRT
- OpenWRT
- HyperWRT
- Tomato
im Prinzip sollten alle Firmwares MAC-Filter können mit iptables (ist ja Linux
).Debian etch // Fluxbox
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: Mac-Adr. sperren
Es ist bekannt, das man MAC-addr. manipulieren kann und behaupte einfach mal,roli hat geschrieben:Hi,
ich suche ein Tool für einen Router, dem ich eine Liste von MAC-Adressen geben kann, die das Netz nutzen dürfen, und das alle anderen Mac's z.B. mittels automatisch generierter Firewall Regeln sperrt. Kennt jemand sowas, oder muss ich selber scripten?
das es dumm ist, irgendwelche zugangs-regeln damit zu realisieren.
Dürfte klar sein: neinroli hat geschrieben:Kennt jemand sowas,
Niemand hat vor eine zentrale Datensammelbehörde aufzubauen. Es handelt sich vielmehr um dezentrale IT-Systeme die miteinander vernetzt werden.
... und Wasser ist naß.
... und Wasser ist naß.
Re: Mac-Adr. sperren
Hi,
der Router den ich meine ist ein PC mit 4 Netzwerkkarten. Darauf laeuft Debian Stable.
Das man MAC's faelschen kann weiss ich, das soll auch nur der erste Schritt sein. Wenn du jedoch bessere Vorschlaege hast, Hardware die nicht in einer Positiv Liste enthalten ist aus dem Netz auszuschliessen.
Den Zugang zu den Netzwerkdosen kann ich aufgrund lokaler Gegebenheiten nicht wirklich beschränken, wobei das sicher das beste waere.
der Router den ich meine ist ein PC mit 4 Netzwerkkarten. Darauf laeuft Debian Stable.
Das man MAC's faelschen kann weiss ich, das soll auch nur der erste Schritt sein. Wenn du jedoch bessere Vorschlaege hast, Hardware die nicht in einer Positiv Liste enthalten ist aus dem Netz auszuschliessen.
Den Zugang zu den Netzwerkdosen kann ich aufgrund lokaler Gegebenheiten nicht wirklich beschränken, wobei das sicher das beste waere.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
-
habakug
- Moderator
- Beiträge: 4314
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: Mac-Adr. sperren
Hallo!
Das ganze ist zumindest so dumm, das man es mit "Squid" realisieren kann. Dazu muß beim Kompilieren lediglich ein "--enable-arp-acl" mitgegeben werden. Dann kann man eine Regel definieren:
Gruß, habakug
Quelle: /etc/squid/squid.conf
Das ganze ist zumindest so dumm, das man es mit "Squid" realisieren kann. Dazu muß beim Kompilieren lediglich ein "--enable-arp-acl" mitgegeben werden. Dann kann man eine Regel definieren:
Code: Alles auswählen
# acl aclname arp mac-address ... (xx:xx:xx:xx:xx:xx notation)
acl macaddress arp 09:00:2b:23:45:67
http_access allow macaddress
http_access deny allQuelle: /etc/squid/squid.conf
Re: Mac-Adr. sperren
Hi,
daran hatte ich noch nicht gedacht, werde ich mal checken.
Roland
daran hatte ich noch nicht gedacht, werde ich mal checken.
Roland
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: Mac-Adr. sperren
Also wie gesagt. Ich halte das für keine gute idee. Mann könnte das
so als "nice to have" zusätzlich machen, aber ich würde dienste primär
immer erst mit einem auth-mechanismus versehen und erst anschliessend
weitere hürden aufziehen (wie z.B. MAC-auth oder auch iptables-MAC-filter).
Wenn das der fall ist, ist es ok (das ging aus dem posting nicht hervor).
so als "nice to have" zusätzlich machen, aber ich würde dienste primär
immer erst mit einem auth-mechanismus versehen und erst anschliessend
weitere hürden aufziehen (wie z.B. MAC-auth oder auch iptables-MAC-filter).
Wenn das der fall ist, ist es ok (das ging aus dem posting nicht hervor).
Niemand hat vor eine zentrale Datensammelbehörde aufzubauen. Es handelt sich vielmehr um dezentrale IT-Systeme die miteinander vernetzt werden.
... und Wasser ist naß.
... und Wasser ist naß.