linux的MAC问题!!!
Linux下客户端MAC地址控制一、方法:
1。iptables -t nat -P PREROUTING DROP
# 检查IP地址为192.168.1.25/32的用户的MAC地址。如果与指定的MAC地址不匹配,
说明源自192.168.1.25的包并不是从该网卡上发出的,即是非法用户,就应当丢弃这些包。
2。iptables -t nat -A PREROUTING -s 192.168.1.25 -m mac -mac-source ! 00:02:01:50:bb:53 -j DROP
# 如果MAC地址匹配,包才能到达这里,并被允许通过。
3。iptables -t nat -A PREROUTING -s 192.168.1.25 -j ACCEPT
我运行了第2步。他出现这样一个错误:
iptables V1.2.8:couldn't load math 'ac-source' lib/iptables/libipt-ac-sorce so.connot open shared-object file:no such file or directory
直接运行第3步没有出现错识,但是那台客户机还不能上INT网。只能打开侨泰网站。我没有从第一步开始运行,担心公司里的所有计算机都不能上INT网。
我哪个地方写错了,谢谢你了!!!!!! 你的内核里没有编译进去ipfilter 关于 MAC 访问控制的功能模块.需要重新编译内核,把相应的功能加进去.
另外,你到底是做NAT,还是端口映射? 怎么加在了 PREROUTING 链里面?做NAT 应当加在POSTROUTING 里才对啊 .
还有,用iptables防火墙设置过滤的话,过滤规则应该加在filter 表中,不应该加在nat表中,加在nat表中虽然也可以实现对应的功能,但是效率会严重降低.
最后,你所要实现的MAC访问控制的最好方法不是用netfilter/iptables,而是用arp进行MAC地址控制.即不用自动探测到的ARP表,而手动建立一个IP/MAC对应关系表,默认情况下这个文件是/etc/ethers
格式:
IP <空格> MAC <空格>
IP2 <空格> MAC2 <空格>
...
使用这个文件中描述的IP/MAC对应关系:
arp -f /etc/ethers
这样,所有盗用别人IP的非法用户都连不上网关,上不了internet 谢谢你的关心,现在我运行arp,能看到IP MAC 一对一的关系的,但是我想再加入一个
IP MAC,怎么样加入进入呢?我运行 arp -f 提示为:cannot open etherfile /etc/ethers !。是为什么? /etc/ethers 文件在有些linux系统下默认不存在,自己建一个就可以了。
关于ethers文件的格式可以man ethers来查看.
你把用arp 看到的IP/MAC对应关系加到ethers文件中,要加其他的,也都可以加进入
然后再运行arp -f /etc/ethers 系统就读取了 新的IP/MAC对应关系,而不再用ARP协议自动探测IP/MAC的对应关系,这样就有效的防止了IP盗用问题. 我也是才学这个系统,刚到这里上班就叫我打开一个网卡叫它上网,我真的是一点都不了解谢谢你!!
现在我要把192.168.0.77 00:50:BA:19:C3:1D 这个网卡能上INT网,
我们公司已经设好了,现在就把上面的IP MAC加入进就可以了,
我用arp 查看的信息为:
192.168.0.77 ether 00:50:BA:19:C3:1DC eth1
它现在不能上网,我怎样做才能使它上INT网,
能说细一点更好,谢谢你!! 我的问题还没有好,大家来帮帮我吗?为什么看的哪 么多人就是没有留言的?
页:
[1]