IPTABLES Problem

Huflatisch · 31 Okt. 2005

Hey

Ich möchte diverse Mac-adressen auf einen spezielle Webseite des internen LAN umleiten.

iptables -A FORWARD -m mac --mac-source $MAC -j DNAT --to-destination $IP

Irgendwie scheint das nicht zu funktionieren. Kann es sein das das DNAT nur bei PREROUTING funktioniert.

By Huflatisch

Frankie777 · 31 Okt. 2005

Nur in der NAT table und auch nur in der PREROUTING und OUTPUT chain.

Wenn Du also die Forward Pakete verbiegen möchte, dann mußtest Du die PREROUTING CHAIN nehmen.

Wieso nimmst Du MAC-Adressen? Das ist eher ungewöhnlich.

Huflatisch · 31 Okt. 2005

Hey

Ich möchte nur in dem internen Netzwerk das alle Arbeitsstationen ins Internet dürfen. Falls jemand einen anderen Rechner anstöpselt dann soll er auf eine Info Webseite weitergeleitet werden. Die MacAdressenauswertung findet ich etwas sicherer 8)
als über IP Adressen.

Also werd ichs über PREROUTING machen

By Huflatisch

PS: gerade getestet ----> die negation über ! bei Macadressen geht nicht, oder

$IPTABLES -t nat -A PREROUTING -i eth1 -m mac --mac-source !$MAC -j DNAT --to-destination 192.168.20.200

Ich wollte alle sperren auser die $MAC

Frankie777 · 31 Okt. 2005

zwischen ! und 00:01:0F... sollte ein Leerzeichen sein

Tip:

Wenn Du die MAC Adressen eh hast, dann per DHCP IPs nur gegen benannte MAC-Adresse vergeben.
Andere Rechner sollen gar keine IP bekommen.

Dazu ArpWatch laufen lassen, der meldet jede Änderung angeschlossener Geräte. Da kannst Du dann sofort reagieren.

PS: MAC Adressen kann man sehr leicht fälschen.

Huflatisch · 1 Nov. 2005

Hey

ahh Leerzeichen..... Danke
werds morgen mal testen

Die IP Vergabe per DHCP erfolgt schon per MAC ... aber ich will ja nicht komplett sperren. Das interne Netz soll schon gehen.

PS: MAC Adressen kann man sehr leicht fälschen.

schon klar, aber noch einfacher ist ne IP Adresse eintragen. :wink:

By Huflatisch

jengelh · 1 Nov. 2005

Wenn die iptables-Regel auf dem Webserver selber ist, musst du -j REDIRECT statt DNAT nehmen.

Huflatisch · 1 Nov. 2005

Hey

bei einem

.... -j REDIRECT --to-destination $IP

kommt eine Fehlermeldung. Das geht nicht

By Huflatisch

Huflatisch · 1 Nov. 2005

Hey

Habs jetzt so gelöst :wink:

http://www.linux-club.de/viewtopic.php?p=250020#250020

By Huflatisch

jengelh · 2 Nov. 2005

Ja ne, REDIRECT nimmt keine IP, da 127.0.0.1 implizit ist.

Huflatisch · 2 Nov. 2005

Hey

achso ... ein REDIRECT geht auf sich selbst.
Werds mal testen.
Danke

By Huflatisch