[ dr_ambis @ 16.04.2007. 01:21 ] @
Zanima me koliko je sigurno filtriranje po MAC adresama.

Naime, delim internet sa drugom i u mrezi smo sa jos njih 6.

Imam server na kome sam namestio polise na INPUT FORWARD OUTPUT i PREROUTING na DROP

A pustio samo u PREROUTING i INPUT tabelu MAC-ove nasih mreznih karti.( znaci nikakva komplikovana IPTABLES skripta, odradjeno samo filtriranje po MAC-ovima)

Ukljucio forvardovanje, masquerade i to radi.

Sad voleo bih da znam koliko je te nepropusno za razne vrste paketa, dos napade, skeniranja i sl.Evo u prilog i skriptica:


IPT="/usr/sbin/iptables"

EXTIF="eth1"
INTIF="eth0"
LOCAL_IP="192.168.1.1"
LOCAL_NET="192.168.1.0/24"
LOCAL_BCAST="192.168.1.255"

LO_IFACE="lo"
LO_IP="127.0.0.1"

echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P PREROUTING DROP
$IPT -t filter -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:40:B9:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:40:B9:xx:xx:xx -j ACCEPT
$IPT -t nat -A PREROUTING -m mac --mac-source 00:0C:76:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:0C:76:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:80:5F:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:0D:88:xx:xx:xx -j ACCEPT
$IPT -t filter -A INPUT -m mac --mac-source 00:05:5D:xx:xx:xx -j ACCEPT
$IPT -t filter -A OUTPUT -p ALL -j ACCEPT
$IPT -t filter -A FORWARD -p ALL -i $INTIF -o $EXTIF -j ACCEPT
$IPT -t filter -A FORWARD -i $INTIF -o $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -p ALL -i $LO_IFACE -o $EXTIF -j ACCEPT
$IPT -t filter -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -o $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -i $INTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t filter -A FORWARD -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE


Ovo provereno radi, znaci menjao sam mrezne karte na svom racunaru i ni sa jednom nisam imao pristup osim sa ovom ciji sam MAC dozvolio.


[ VRider @ 16.04.2007. 01:33 ] @
Sve je korektno odradjeno. Pitanje ne razumem. O kakvim propustanjima paketa i skeniranjima pricas?
Inace, filtriranje po mac adresama imaju tu losu stranu sto svako moze da donese drugu masinu, promeni mac i koristi net. Mislim, jeste osiguranje od nekoga ko zeli da to koristi bez icijeg znanja, ali, to ne sprecava bilo kod druga da radi sta hoce.
[ dr_ambis @ 16.04.2007. 01:47 ] @
Dos napadi i tako to, nmap skeniranje, mislim da li ovakav nacin odbija bukvalno sve, ima li kakvu drugu manu sem ove sto si naveo,posto je ideja da zabranim nekome sa lokalne mreze pristup internetu (imam i squid, podesen radi lepo ali me zanima i ovako). Prakticno kroz linux ruter sam dozvolio pristup dvema jedinstvenim kartama na svetu, posto su polise odredjenih tabela podesene na drop a kasnije dozvoljene samo ovim dvema mreznim kartama. Konkretno, koliko je ovo sigurno da neko drugi ( ne mislim na nekoga ko je za racunarom kod ovog drugara) ne moze da zaobidje firewall. Konkretno firewall je podesen kao i sto se vidi da ne moze niko sa nase mreze da koristi internet sem nas dvojice.

[ risk @ 16.04.2007. 10:40 ] @
mac adrese se relativno lako menjaju, jesi razmisljao da koristis PPPoE? tako bi mogao da imas authentikaciju i lepo da uparis mtu sa odlaznim linkom, ono sto je drugacije je da je to mozda veci cim za tog tvog drugara sa kojim delis net.

mozes da probas i arpwatch, on ce ti reci da li je doslo de neke promene mac/ip parova odnosno do neke promene u arp tabeli. (prikacen novi komp u lan i tako to)
[ VRider @ 16.04.2007. 11:48 ] @
Da te dosuju i skeniraju mogu ljudi iz mreze kojima si po mac adresama dozvolio. A kako svako moze da uzme tudji mac, moze bilo ko ko ima pristup switchu ili kablu.
Mislim da je neki VPN ili PPPoE (sto je predlozio Srki) bolje resenje.
[ dr_ambis @ 17.04.2007. 00:29 ] @
Razumeo :)
Hvala