找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 20897|回复: 18

[coyote] [分享]在coyote中只允许指定mac地址和IP的电脑可以上网

[复制链接]
发表于 2003-12-26 00:20:09 | 显示全部楼层
只允许指定mac地址的电脑可以上网:
#The next 4 lines create and maintain the mac-nat chain
iptables -t nat -N mac-nat 2>/dev/null
iptables -t nat -F mac-nat 2>/dev/null
iptables -t nat -D PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -I PREROUTING -j mac-nat 2>/dev/null

iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -t nat -A mac-nat -j DROP

只允许指定mac地址和IP的电脑可以上网

iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.X --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

or

iptables -t nat -A mac-nat -i $IF_LOCAL -s 192.168.0.0/24 --match mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
routeros
回复

使用道具 举报

 楼主| 发表于 2003-12-27 22:41:05 | 显示全部楼层
我已经在用了。运行正常。凡是mac地址没有添加到命令中的,连ping路由器都ping不通。不错。
routeros
回复

使用道具 举报

发表于 2003-12-27 23:08:55 | 显示全部楼层
自定义的链我搞不懂呀,能不能详解一下
不过,我有土办法,
iptables -I FORWARD -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -s 192.168.0.2 -m mac --mac-source 00:00:00:00:00:02 -j ACCEPT
iptables -I FORWARD -s 192.168.0.3 -m mac --mac-source 00:00:00:00:00:03 -j ACCEPT
iptables -I FORWARD -s 192.168.0.4 -m mac --mac-source 00:00:00:00:00:04 -j ACCEPT

哈哈,难不到

不过还是希望楼顶的能写篇文章教俺们自定义链的用法。
routeros
回复

使用道具 举报

 楼主| 发表于 2003-12-28 18:24:58 | 显示全部楼层
不过绑定mac地址和端口映射有冲突,绑定mac地址之后,端口映射就不能正常工作了。我已经在coyote的网站提了问题了。
看能不能解答
routeros
回复

使用道具 举报

发表于 2003-12-28 20:51:46 | 显示全部楼层
绑定地址会影响端口映射?不可思议。你用iptables试一试呢?可能你是用coyote自带的映射语句吧。
routeros
回复

使用道具 举报

发表于 2007-4-24 16:46:19 | 显示全部楼层
请问一下这个是不是在
Custom Firewall Rules
自定义防火墙里设的,,
我的Custom Firewall Rules
默认是:
#!/bin/sh
#
# Local Custom Firewall rules

# Level 7 Filtering example rules:
# Block Kazaa, Morpheus, iMesh, Grokster, eDonkey, eMule, DC++, etc:
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j DROP
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j DROP
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j DROP

# Other Examples:
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto ftp -j LOG
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto pop3 -j MARK --set-mark 1
#
# To see a list of all available protocols use this command:
# ls /etc/l7-protocols


# Attention: To enable the commands below can cause some side effects
# Syn-flood and DOS protection
#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port Scanners protection
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
# Ping-of-dead protection
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# IP Spoofing protection
#iptables -A INPUT -s 10.0.0.0/8 -i $IF_INET -j DROP
#iptables -A INPUT -s 172.16.0.0/16 -i $IF_INET -j DROP
#iptables -A INPUT -s 192.168.0.0/24 -i $IF_INET -j DROP



由于老是有arp病毒,所以想把ip和mac邦定,,
我的局限网是光纤有固定IP,
内网是192.168.10.1网关  
请各位老大详细给写一个.
我对防火墙不懂.
routeros
回复

使用道具 举报

发表于 2007-4-26 20:01:06 | 显示全部楼层
回楼上,你可以在 BFW里的简单防火墙里设置。
不过虽然依靠 iptables 可以进行限制,不过我发现仍会导致回应的报文错误。自己都晕了。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-4-26 20:10:53 | 显示全部楼层
如果有arp病毒,用iptables的mac绑定是没有作用的。
必须用arp工具来绑定ip和mac才OK
routeros
回复

使用道具 举报

发表于 2007-5-30 09:25:52 | 显示全部楼层
终于看到一个有用的了,但看不明,有空再试试,楼主能不能说详细点,就是说这些命令写在那个文件,有什么要注意的,谢谢!
routeros
回复

使用道具 举报

发表于 2007-5-30 10:37:10 | 显示全部楼层
好了,正在测试,等等看......
routeros
回复

使用道具 举报

发表于 2007-5-30 10:47:57 | 显示全部楼层
如想得太美兄所说,在rc.local文件中加了命令,用不同的机,(有加MAC地址和没加MAC地址的电脑,都能用WEB登录.不解.中午下班时测试能不能上网,再继续说,

下面是我添加的命令,不知有没有错.三块网卡,两块是我现在这台用的,一台是测试电脑用的,我用第四台也能PING到服务器,嘻嘻,好了,不急,慢慢来.希望那位老大指点指点.
cat: rc.local: No such file or directory
#The next 4 lines create and maintain the mac-nat chain
iptables -t nat -N mac-nat 2>/dev/null
iptables -t nat -F mac-nat 2>/dev/null
iptables -t nat -D PREROUTING -j mac-nat 2>/dev/null
iptables -t nat -I PREROUTING -j mac-nat 2>/dev/null

iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:E0:4C:FB3:8D -j ACCEPT
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:00:E8:7D:39:C4 -j ACCEPT
iptables -t nat -A mac-nat -i $IF_LOCAL --match mac --mac-source 00:00:E8:7D:39:23 -j ACCEPT
iptables -t nat -A mac-nat -j DROP
routeros
回复

使用道具 举报

发表于 2007-5-30 11:54:39 | 显示全部楼层
不行,所有的电脑都能上网
routeros
回复

使用道具 举报

发表于 2007-5-30 15:16:34 | 显示全部楼层

巴西人的BrazilFW(coyote)很简单的设置就可以了。
在简单防火墙设置里面,选择Deny access to all internal users屏蔽所有的用户
然后在Ip Address and MAC engagement中输入允许访问的IP以及它们的MAC
List the ip and mac addresses you want to match. Example:
192.168.0.10 01:0d:03:0e:00:0f
192.168.0.11 01:0d:03:0e:dd:ff
These rules are only effective when the default policy is Deny access to all internal users
routeros
回复

使用道具 举报

发表于 2007-5-30 15:48:45 | 显示全部楼层
终于有一点点成绩了,但不是用楼主的方法,用这个选项就可以做到了,Simplified Firewall Configuration。继续测试中,看看效果如何。
routeros
回复

使用道具 举报

发表于 2007-5-30 15:51:31 | 显示全部楼层

回复 #13 LanTian 的帖子

看到你的贴太晚了,要不我也用搞了一整天,嘻嘻。谢谢
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-24 00:43 , Processed in 0.066914 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表