Good to Know Database

iptables: Filtern einer MAC-Adresse


Wenn Sie einem Client den Zugriff auf einen Linux-Server anhand dessen MAC-Adresse verbieten wollen, hilft Ihnen das Netfilter-Administrationsprogramm iptables weiter. Mit Hilfe des folgenden Befehls können Sie eine neue Regel zur INPUT-Chain der Linux-Firewall hinzufügen, welche alle eingehenden Pakete von der MAC-Adresse 00:0E:7B:FC:E3:A1 ohne Rückmeldung an den Absender verwirft.

[root@centos5 ~]# iptables -I INPUT -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP

Da die Firewall-Regeln von oben nach unten ausgewertet werden, könnte bereits von einer vorhergehenden Regel der Zugriff erlaubt worden sein. Aus diesem Grund wir die neue Regel mit der Option -I am Anfang der INPUT-Chain eingefügt. Sollten Sie weitere Regeln zur INPUT-Chain hinzufügen, beachten Sie bitte unbedingt die Reihenfolge der einzelnen Regeln.

Sollte Ihr Linux-Server als Router beziehungsweise als Gateway fungieren und Sie für diesen Client auch das Routing verbieten wollen, müssen Sie eine zusätzliche Regel in der FORWARD-Chain erstellen.

[root@centos5 ~]# iptables -I FORWARD -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP

Mit den beiden folgenden Befehlen können Sie überprüfen ob die Regeln in den jeweiligen Chains aufgenommen wurden und ob die Reihenfolge der Regeln stimmen.

[root@centos5 ~]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
[root@centos5 ~]# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Die Regeln können Sie wenn nötig mit den folgenden Befehlen wieder löschen.

[root@centos5 ~]# iptables -D INPUT -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
[root@centos5 ~]# iptables -D FORWARD -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP

Weiterführende Tutorials

iptables: IPv4-Firewall-Regeln dauerhaft speichern


Dieser Eintrag wurde am 02.08.2009 erstellt und zuletzt am 24.01.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_715.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer