înregistrare Logare
Puncte:1
Adrian Cornish avatar Server

Cum să blocați o gazdă internă de pe internet cu firewalld după adresa MAC

drapel ph
Adrian Cornish

Încerc să opresc unele gazde din rețea să iasă afară/să sune acasă.

Deci am 2 zone.

[root@eagle ~]# firewall-cmd --get-active-zones 
extern
  interfețe: enp2s0
intern
  interfețe: eno1

Cu mascarada pentru extern

[root@eagle ~]# firewall-cmd --zone=internal --query-masquerade
Nu
[root@eagle ~]# firewall-cmd --zone=external --query-masquerade
da

Și am o regulă bogată pentru a elimina datele pentru adresa MAC pe care o vreau

[root@eagle ~]# firewall-cmd --zone=external --list-rich-rules 
sursa regulii mac="40:16:3B:63:72:E0" drop

Dar nu pare să funcționeze. Lucrurile evidente pe care le-am verificat sunt să le adaug ca permanente și să mă asigur că am reîncărcat regulile.

Orice ajutor este apreciat

102
0 + 0
djdomi avatar
drapel za
djdomi
Cred că ar putea fi o întrebare bună, dar nu crezi că ar trebui să adaugi câteva informații despre ce fel de firewall folosești? â La fel ca exemplu, spui că conduc o mașină â nimeni nu va ști ce mașină o conduci (sau este un secret?) :-)
1
Răspunde
Adrian Cornish avatar
drapel ph
Adrian Cornish
Dacă vă referiți la backend-ul pentru firewall-ul lui nftables.
0
Răspunde
Puncte:1
avatar Server
drapel us
Tero Kilkanen

Adăugați regula MAC pe zona externă, adică enp2s0. Cadrele Ethernet trimise prin acea interfață au adresa MAC de enp2s0 ca adresa lor MAC sursă.

Dacă doriți să potriviți dispozitivele din rețeaua internă, trebuie să adăugați reguli de potrivire MAC în intern zonă, care utilizează interfața eno1, și vede adresele MAC ale clientului ca adresă MAC sursă atunci când primește cadre de la clienți.

Aceasta înseamnă că trebuie să adăugați și adresa IP de destinație în regulă.

0 + 0
Adrian Cornish avatar
drapel ph
Adrian Cornish
Dacă îl adaug în zona internă, atunci asta nu va însemna că nu poate comunica cu nimic altceva de pe LAN. Ar exista un echivalent cu iptables POSTROUTING în nftables pentru a adăuga o regulă acolo?
0
Răspunde
drapel us
Tero Kilkanen
Traficul din partea LAN este activat pe L2, nu trece prin IPTables. Dacă executați o punte pe cutia care face legătura între diferite interfețe laterale LAN, puntea este încă alocată zonei interne, astfel încât traficul continuă să circule.
1
Răspunde
Adrian Cornish avatar
drapel ph
Adrian Cornish
Multumesc pentru ajutor. Am mutat regula MAC la intern - dar nu am fost clar ce vrei să spui prin dest ip - vreau să blochez toate ieșirile. Am întrerupt toate conexiunile cu `conntrack`, dar 40:16 încă iese. `15:27:20.930195 40:16:3b:63:72:e0 > 64:00:6a:57:f8:1f, ethertype IPv4 (0x0800), lungime 1514: 192.168.124.61.465.240 >192.424.24 : Steaguri [.], seq 543929265:543930713, ack 3518997520, win 331, opțiuni [nop,nop,TS val 36061421 ecr 1532501099], lungime 1448`
0
Răspunde
drapel us
Tero Kilkanen
Pachetele sunt vizibile pe interfața internă pe care ați folosit-o când rulați TCPDump. Pachetele nu ar trebui să fie vizibile pe interfața de ieșire.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.