1 Temat przez mirkap (edytowany przez mirkap 2015-10-21 10:28:07)

  • mirkap
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-10-21
  • Posty: 7

Temat: Rozważania nad blokowaniem.

Potrzebuje zablokować hosta w domowym lan. Wiem ze można to zrobić w ustawieniach firewall regułami typu iptables.
Zastanawiam się jednak nad jeszcze innymi rozwiązaniami.

Moje założenia są takie:
* wszystkie hosty lan łączą się po wifi
* istnieje taki jeden host (np. host C), któremu właśnie chce zablokować wyjście/wejście na zewnątrz
* host C możne się połączyć tylko i wyłącznie z hostem A
* oczywiście host A posiada wszelkie uprawnienia
* host C ma być widoczny i dostępny tylko dla hosta A, albo niewidoczny wcale

Myślałem o wydzieleniu jakiegoś dodatkowego kanału dla C <=> A. Czy takie podejście jest w ogóle rozsądne?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,912

Odp: Rozważania nad blokowaniem.

Dwie regułki iptables wystarczy...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez build000

  • Zarejestrowany: 2013-06-25
  • Posty: 2,058

Odp: Rozważania nad blokowaniem.

...to teraz jeszcze do szczęścia brakuje by Cezary napisał jakie to konkretnie (kod) regułki (np. używając jakichś synonimów typu np. "host A", "host C", i.t.d.) i będzie baja bongo...
big_smile

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,912

Odp: Rozważania nad blokowaniem.

iptables -I FORWARD -s hostC -j DROP
iptables -I FORWARD -d hostC -j DROP
iptables -I FORWARD -s hostC -d hostA -j ACCEPT
iptables -I FORWARD -d hostC -s hostA -j ACCEPT

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez build000

  • Zarejestrowany: 2013-06-25
  • Posty: 2,058

Odp: Rozważania nad blokowaniem.

... wink

6 Odpowiedź przez mirkap

  • mirkap
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-10-21
  • Posty: 7

Odp: Rozważania nad blokowaniem.

Prawie rozumiem, tylko dlaczego jest DROP a nie REJECT?

A dla blokowania po MAC czy wystarczy zamiast hostC wpisać taką kombinację: -m mac --mac-source 01:02:03:04:05:06

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,912

Odp: Rozważania nad blokowaniem.

DROP bezapelacyjnie ubija pakiet, REJECT daje komunikat zwrotny że został odrzucony. Jak to jest interpretowane zależy od konkretnej aplikacji, np. jak zrobisz to dla www to przeglądarka przy DROPie nie doczeka się odpowiedzi i powie po pewnym czasie (timeout) że nie może się dobić. Jak będziesz miał REJECT to napisze od razy że połączenie zostało odrzucone. Więc jak chcesz.

Tak, możesz  z mac, chociaż to dotyczy mac źródłowego jak nazwa wskazuje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez mirkap

  • mirkap
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-10-21
  • Posty: 7

Odp: Rozważania nad blokowaniem.

ok,
czyli dla -s host będzie -m mac --mac-source numer ,
a dla -d host będzie -m mac --mac-destination numer ?

dobrze to rozumiem?

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,912

Odp: Rozważania nad blokowaniem.

Nie, nie istnieje coś takiego jak --mac-destination, jest tylko --mac-source

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez mirkap

  • mirkap
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-10-21
  • Posty: 7

Odp: Rozważania nad blokowaniem.

czyli dla -s host moze być po macu ,
a dla -d host tylko ip  numer ?

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,912

Odp: Rozważania nad blokowaniem.

Dlatego też zrób to po ip po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona