#The next 4 lines create and maintain the mac-nat chain
iptables -t nat -N mac-nat 2>/dev/null
iptables -t nat -F mac-nat 2>/dev/null
iptables -t nat -D PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -I PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -t nat -A mac-nat -j DROP
只允许指定mac地址和IP的电脑可以上网
iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.X --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
or
iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.0/24 --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT 我已经在用了。运行正常。凡是mac地址没有添加到命令中的,连ping路由器都ping不通。不错。 自定义的链我搞不懂呀,能不能详解一下
不过,我有土办法,
iptables -I FORWARD -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -s 192.168.0.2 -m mac --mac-source 00:00:00:00:00:02 -j ACCEPT
iptables -I FORWARD -s 192.168.0.3 -m mac --mac-source 00:00:00:00:00:03 -j ACCEPT
iptables -I FORWARD -s 192.168.0.4 -m mac --mac-source 00:00:00:00:00:04 -j ACCEPT
哈哈,难不到
不过还是希望楼顶的能写篇文章教俺们自定义链的用法。 不过绑定mac地址和端口映射有冲突,绑定mac地址之后,端口映射就不能正常工作了。我已经在coyote的网站提了问题了。
看能不能解答 绑定地址会影响端口映射?不可思议。你用iptables试一试呢?可能你是用coyote自带的映射语句吧。 请问一下这个是不是在
Custom Firewall Rules
自定义防火墙里设的,,
我的Custom Firewall Rules
默认是:
#!/bin/sh
#
# Local Custom Firewall rules
# Level 7 Filtering example rules:
# Block Kazaa, Morpheus, iMesh, Grokster, eDonkey, eMule, DC++, etc:
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j DROP
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j DROP
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j DROP
# Other Examples:
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto ftp -j LOG
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto pop3 -j MARK --set-mark 1
#
# To see a list of all available protocols use this command:
# ls /etc/l7-protocols
# Attention: To enable the commands below can cause some side effects
# Syn-flood and DOS protection
#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port Scanners protection
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
# Ping-of-dead protection
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# IP Spoofing protection
#iptables -A INPUT -s 10.0.0.0/8 -i $IF_INET -j DROP
#iptables -A INPUT -s 172.16.0.0/16 -i $IF_INET -j DROP
#iptables -A INPUT -s 192.168.0.0/24 -i $IF_INET -j DROP
由于老是有arp病毒,所以想把ip和mac邦定,,
我的局限网是光纤有固定IP,
内网是192.168.10.1网关
请各位老大详细给写一个.
我对防火墙不懂. 回楼上,你可以在 BFW里的简单防火墙里设置。
不过虽然依靠 iptables 可以进行限制,不过我发现仍会导致回应的报文错误。自己都晕了。 如果有arp病毒,用iptables的mac绑定是没有作用的。
必须用arp工具来绑定ip和mac才OK 终于看到一个有用的了,但看不明,有空再试试,楼主能不能说详细点,就是说这些命令写在那个文件,有什么要注意的,谢谢! 好了,正在测试,等等看...... 如想得太美兄所说,在rc.local文件中加了命令,用不同的机,(有加MAC地址和没加MAC地址的电脑,都能用WEB登录.不解.中午下班时测试能不能上网,再继续说,
下面是我添加的命令,不知有没有错.三块网卡,两块是我现在这台用的,一台是测试电脑用的,我用第四台也能PING到服务器,嘻嘻,好了,不急,慢慢来.希望那位老大指点指点.
cat: rc.local: No such file or directory
#The next 4 lines create and maintain the mac-nat chain
iptables -t nat -N mac-nat 2>/dev/null
iptables -t nat -F mac-nat 2>/dev/null
iptables -t nat -D PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -I PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:E0:4C:FB:D3:8D -j ACCEPT
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:00:E8:7D:39:C4 -j ACCEPT
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:00:E8:7D:39:23 -j ACCEPT
iptables -t nat -A mac-nat -j DROP 不行,所有的电脑都能上网 原帖由 gdgzjy 于 2007-5-30 11:54 发表 http://bbs.routerclub.com/images/common/back.gif
不行,所有的电脑都能上网
巴西人的BrazilFW(coyote)很简单的设置就可以了。
在简单防火墙设置里面,选择Deny access to all internal users屏蔽所有的用户
然后在Ip Address and MAC engagement中输入允许访问的IP以及它们的MAC
List the ip and mac addresses you want to match. Example:
192.168.0.10 01:0d:03:0e:00:0f
192.168.0.11 01:0d:03:0e:dd:ff
These rules are only effective when the default policy is Deny access to all internal users 终于有一点点成绩了,但不是用楼主的方法,用这个选项就可以做到了,Simplified Firewall Configuration。继续测试中,看看效果如何。
回复 #13 LanTian 的帖子
看到你的贴太晚了,要不我也用搞了一整天,嘻嘻。谢谢
页:
[1]
2