(Gelöst) iptables Regel für ausgehendes Wake On Lan

[risc2000]

Hallo,

ich suche nach einer iptables Regel um "ausgehendes" Wake On Lan zu erlauben. Um mir das Wake On Lan Protokoll näher anzusehen, habe ich mit wireshark ein Wake On Lan Paket mitgeschnitten. Darin sind grundsätzlich folgende Informationen enthalten:

Code: Alles auswählen

Frame 1 (144 bytes on wire, 144 bytes captured)
Ethernet II, Src: AsustekC_0a:77:aa (00:15:f2:0a:77:aa), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol, Src: 192.168.0.100 (192.168.0.100), Dst: 255.255.255.255 (255.255.255.255)
User Datagram Protocol, Src Port: 42257 (42257), Dst Port: discard (9)
Wake On LAN, MAC: 00:89:9d:24:91:9d (00:89:9d:24:91:9d)

Es wird also ein UDP Paket von einem beliebigen Port an das Ziel 255.255.255.255 gesendet.

Ich habe folgende Regel probiert, bei der das Paket auch rausgeht aber das Wake on Lan nicht funktioniert.

Code: Alles auswählen

iptables -A OUTPUT -p udp -o eth0 --sport 0:65535 --source 192.168.0.100 --destination 255.255.255.255 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Kann mir dabei jemand helfen? Danke schonmal.

Gruß risc.

[risc2000]

So,
ich bin es selber nochmal. Mit der folgenden Regel funktioniert es jetzt, wobei ich mir nicht ganz sicher bin ob dies so ok ist, da ja damit
UDP Pakete zu sämtlichen Ports an die Broadcast Adresse gesendet werden können.

Code: Alles auswählen

iptables -A OUTPUT -p udp -o eth0 --sport 0:65535 --source 192.168.0.100 --dport 0:65535 --destination 255.255.255.255 -j ACCEPT

[swuing]

hi,

quelle http://de.wikipedia.org/wiki/Wake_On_LAN

Das Datenpaket ist entweder direkt an die Netzwerkkarte adressiert oder wird als Broadcast verschickt. Es enthält 6 Mal in Folge den hexadezimalen Wert FF; unmittelbar danach erscheint die ununterbrochene 16-malige Wiederholung der MAC-Adresse der Netzwerkkarte. Dieser Inhalt kann in ein beliebiges Paket (z. B. IP, IPX) verpackt sein.

...mit diesem Wissen könntest du noch nach der genauen Länge und nach dem Inhalt filtern.
quelle http://www.iptables.org/documentation/H ... WTO-3.html

Um zum Beispiel Pakete zu erkennen, die den String ``cmd.exe''
enthalten und diese an den Userspace weiterzuleiten kannst du folgende
Regel benutzen:
# iptables -A INPUT -m string --string 'cmd.exe' -j QUEUE


Als Beispiel wollen wir alle Ping's verbieten, die eine Paketlnge von
mehr als 85 Bytes aufweisen:
# iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 86:65535 -j DROP

[risc2000]

Danke für den Tipp mit dem String Match. Das funktioniert bestens, habe die Regel wie folgt geändert.

Code: Alles auswählen

# WOL_MAC="00 89 9d 24 91 9d"
# iptables -A OUTPUT -p udp -o eth0 --sport 0:65535 --source 192.168.0.100 --dport 0:65535 --destination 255.255.255.255 -m string --algo bm --hex-string "|ffffffffffff$WOL_MAC|" -j ACCEPT

Gruß risc.