iptables: Filtern einer MAC-Adresse
Wenn Sie einem Client den Zugriff auf einen Linux-Server anhand dessen MAC-Adresse verbieten wollen, hilft Ihnen das Netfilter-Administrationsprogramm iptables weiter. Mit Hilfe des folgenden Befehls können Sie eine neue Regel zur INPUT-Chain der Linux-Firewall hinzufügen, welche alle eingehenden Pakete von der MAC-Adresse 00:0E:7B:FC:E3:A1 ohne Rückmeldung an den Absender verwirft.
[root@centos5 ~]# iptables -I INPUT -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
Da die Firewall-Regeln von oben nach unten ausgewertet werden, könnte bereits von einer vorhergehenden Regel der Zugriff erlaubt worden sein. Aus diesem Grund wir die neue Regel mit der Option -I am Anfang der INPUT-Chain eingefügt. Sollten Sie weitere Regeln zur INPUT-Chain hinzufügen, beachten Sie bitte unbedingt die Reihenfolge der einzelnen Regeln.
Sollte Ihr Linux-Server als Router beziehungsweise als Gateway fungieren und Sie für diesen Client auch das Routing verbieten wollen, müssen Sie eine zusätzliche Regel in der FORWARD-Chain erstellen.
[root@centos5 ~]# iptables -I FORWARD -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
Mit den beiden folgenden Befehlen können Sie überprüfen ob die Regeln in den jeweiligen Chains aufgenommen wurden und ob die Reihenfolge der Regeln stimmen.
[root@centos5 ~]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT all -- anywhere anywhere
[root@centos5 ~]# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT all -- anywhere anywhere
[root@centos5 ~]# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere MAC 00:0E:7B:FC:E3:A1
RH-Firewall-1-INPUT all -- anywhere anywhere
Die Regeln können Sie wenn nötig mit den folgenden Befehlen wieder löschen.
[root@centos5 ~]# iptables -D INPUT -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
[root@centos5 ~]# iptables -D FORWARD -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
[root@centos5 ~]# iptables -D FORWARD -m mac --mac-source 00:0E:7B:FC:E3:A1 -j DROP
Weiterführende Tutorials
iptables: IPv4-Firewall-Regeln dauerhaft speichern
Dieser Eintrag wurde am 02.08.2009 erstellt und zuletzt am 24.01.2016 bearbeitet.
Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_715.html
[ Zur Startseite ] [ Zur Kategorie ]
© 2004-2021 by Georg Kainzbauer