[问题求助]iptables只允许一个mac通过上qq（已经解决） [复制链接]

iptabl.es -I FORWARD -p udp --dpo.rt 53 -m string --string "tencent" --.algo bm -j DROP.
iptables -I FORWARD -p tcp -m multiport --dp.ort 80,443 -m layer7 .--l7proto qq -j D.ROP.
iptables -I FORWARD -.p udp --dport 8000 -j DR.OP          婚庆
iptables -I FORWARD -p tcp -m layer7 --l.7.proto socks -j DROP.
iptables -I FORWARD -p tcp -m l.ayer7 --.l7proto httpagent -j DROP.
iptables -I .FORWARD -.p ud.p --dport 53 -m string --string "messenger" --algo bm -j DROP              汽车
iptables -I FORWAR.D -p tcp -m multiport. --dp.ort 80,443 -m layer7 --l7proto msnmessenger -j DROP域名
iptables -I F.ORWARD -p udp --dport 1863 -.j DROP--- 印刷
现在qq.和msn都上不了了，但是.我想让以下机子的mac地址可以上qq和msn，怎么弄             电子
iptables -A FORWARD -m mac --mac-source  00:0A:24:A44:B2 后面怎么写呢，我写了的要不过不去，要不都可以过去http://upload.bbs.csuboy.com/Mon_1004/126_6993_3b01f95722f71e9.gif[/img]--- 印刷

[ 本帖最后由 gam.ester88 于 .2008-9-4 11:15 编辑 ]电脑

注意主题，问题要明确

好的，下次一定注意，劳您费心,不好意思！
给个提示吧?

我也是刚学LINUX，楼主可以把这条放在最上面试一下。

-A FORWARD -m mac --mac-source 你的MAC地址 -j ACCEPT

[ 本帖最后由 rd16 于 2008-9-4 10:12 编辑 ]

呵呵，谢谢，这样的话全部机子都可以登上qq和msn了，是不行的

你最好 贴下 iptables-save

使用qq和msn，就得知道这两个软件都用哪些端口进行连接，然后根据上下文允许。
-m layer7 --l7proto 这个是？

请先修改标题，修改后解锁

# Generated by iptables-save v1.4.1.1 on Thu Sep  4 10:52:39 2008
*nat
REROUTING ACCEPT [31282:3480549]
OSTROUTING ACCEPT [14:1009]
:OUTPUT ACCEPT [14:1009]
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Sep  4 10:52:39 2008
# Generated by iptables-save v1.4.1.1 on Thu Sep  4 10:52:39 2008
*filter
:INPUT DROP [5518:1141855]
:FORWARD DROP [295:18041]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p udp -m time --timestart 12:00:00 --timestop 13:30:00 -m udp --dport 1863 -j ACCEPT
-A FORWARD -p tcp -m time --timestart 12:00:00 --timestop 13:30:00 -m multiport --dports 80,443 -m layer7 --l7proto msnmessenger -j ACCEPT
-A FORWARD -p udp -m time --timestart 12:00:00 --timestop 13:30:00 -m udp --dport 53 -m string --string "messenger" --algo bm --to 65535 -j ACCEPT
-A FORWARD -p tcp -m time --timestart 12:00:00 --timestop 13:30:00 -m layer7 --l7proto httpagent -j ACCEPT
-A FORWARD -p tcp -m time --timestart 12:00:00 --timestop 13:30:00 -m layer7 --l7proto socks -j ACCEPT
-A FORWARD -p udp -m time --timestart 12:00:00 --timestop 13:30:00 -m udp --dport 8000 -j ACCEPT
-A FORWARD -p tcp -m time --timestart 12:00:00 --timestop 13:30:00 -m multiport --dports 80,443 -m layer7 --l7proto qq -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -m time --timestart 12:00:00 --timestop 13:30:00 -m string --string "tencent" --algo bm --to 65535 -j ACCEPT
-A FORWARD -p udp -m udp --dport 1863 -j DROP
-A FORWARD -p tcp -m multiport --dports 80,443 -m layer7 --l7proto msnmessenger -j DROP
-A FORWARD -p udp -m udp --dport 53 -m string --string "messenger" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m layer7 --l7proto httpagent -j DROP
-A FORWARD -p tcp -m layer7 --l7proto socks -j DROP
-A FORWARD -p udp -m udp --dport 8000 -j DROP
-A FORWARD -p tcp -m multiport --dports 80,443 -m layer7 --l7proto qq -j DROP
-A FORWARD -p udp -m udp --dport 53 -m string --string "tencent" --algo bm --to 65535 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m mac --mac-source 00:0A:24:A4：44:B2  -j ACCEPT
COMMIT
# Completed on Thu Sep  4 10:52:39 2008

[ 本帖最后由 gamester88 于 2008-9-4 10:55 编辑 ]

这样试试呢？
iptables -t mangle -I FORWARD -m mac --mac-sources XX:XX:XX:XX:XX:XX -j CONNMARK --set-mark 1
iptables -I FORWARD -m connmark --mark 1 -j ACCEPT

原理：
1、在 mangle 表里把该 MAC 地址产生的所有连接做个标记
2、在 filter 表里把符合连接标记的所有数据包提前放走，不受后面策略限制

不知道能否成功，原因：不知道 mangle 表的 FORWARD 读取 mac 地址时是否正确