[问题求助]问一个iptables的“-m mac --mac-source”的问题。 [复制链接]

想用 -m mac --mac.-source 实现IP和MAC的捆绑，试.了一下不行。.
iptables -P FORWARD. DROP           建材
iptables -A FORWARD -s 192.9.111.159 -m mac --mac-source 00:1A:A0:CC:990 -j ACCEPThttp://upload.bbs.csuboy.com/Mon_1004/126_6664_3b01f95722f71e9.gif[/img].


ip a结果如下
1: l.o: <LOOPBACK,UP,LOWER_.UP> mtu 16436 qdisc noqueue            女人
    link/loopback 00:00:00:00:00.:00 brd 00:00:0.0:00:00:00虚拟主机
.   inet 127.0.0.1/8 scope ho.st lo.
    inet.6 ::1/128 scope h.ost [成人用品]
       valid_lft foreve.r p.referred_lft forever.
2: eth2.: <BROADCAST,MULTICAST,UP,LOWE.R_UP> mtu 1500 qdisc pfifo._fast qlen 100--- 印刷
    link/ether 0.0:15:17:62:af:b2 brd. ff:ff:ff:ff:ff:ff.
    inet 10.76.73.107/28 brd 10..76.73.111 sc.ope global eth2服务器
    inet6 fe80::215:17ff:fe62:afb2/64. sc.ope link 健康
       valid_.lft forever preferred_lft fo.rever.
3: e.th1: <BROADCAST,MULTICAST,U.P,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1.000虚拟主机
    link/e.ther 00:0e:0c:6b:b4:45 brd ff:ff.:ff:ff:ff:ff.
    inet 10.88.187.75/25 brd 10.88..187..127 scope global eth1           建材
    in.et6 fe80::2.0e:cff:fe6b:b445/64 scope link 虚拟主机
       valid_lft. forever pr.eferred_lft forever           建材
4: eth0: <BROADCAST,MULTI.CAST,UP,LOWER_UP> mtu 1500 q.disc pfifo_f.ast qlen 1000.
    link/ether 00:21.:5a:a6:06:da brd ff:ff:ff:ff:ff:.ff           建材
    inet 192.9.254.70/24 brd 192.9.254.255 scope globa.l e.th0             电子
    inet6 fe80::221:5aff:fea6:6d.a/64 scope lin.k 域名
       valid_lft foreve.r .preferred_lft forever    健康
5: sit0.: <NOARP> mtu 1480 q.disc noop 电影
    link/sit. 0..0.0.0 brd 0.0.0.0          婚庆

网络环境，内网是192.9.0.0/16，大概使用了十几个网段（192.9.2.0，192.9..3.0........19.2..9.115.0），erth0是防火墙内网，一般访问外网都是通过eth1出去，eth2是本地访问本地一些服务器用的。              乙肝
想做IP和MAC限制.无效，不知道是内.核不支持，还是在三层交换上就行不通？(广告)
内核是2.6.18-164（RHEL AS .5.3），/lib/modules/2.6.18-164.el5/ke.rnel/net/netfilter下面有xt._mac.ko 文件。外贸

我来回答

IP---MAC绑定是你这么绑的吗？
/etc/ethers中IP  MAC
然后arp -f

/etc/ethers需要一个网段里面，跨网段不认。

#more /etc/ethers
00:1a:a0:cc:99:d0       192.9.111.159
# arp -f
SIOCSARP: Network is unreachable
arp: cannot set entry on line 1 of etherfile /etc/ethers !

可以变相实现，允许，且仅允许合法的数据出去
iptables -A FORWARD -s 192.9.111.159 -m mac --mac-source 00:1A:A0:CC:99:D0 -j ACCEPT

iptables -A FORWARD -s 192.9.111.159 -j DROP
复制代码
这样，使用这个 IP 的其他机器就无法上网了，但这是 IP/MAC 绑定，保护 IP 的模式
如果要保护 MAC 的模式，可以这样
iptables -A FORWARD -s 192.9.111.159 -m mac --mac-source 00:1A:A0:CC:99:D0 -j ACCEPT

iptables -A FORWARD -m mac --mac-source 00:1A:A0:CC:99:D0 -j DROP
复制代码
这样，这个 MAC 就只有使用 192.9.111.159 才能上网了

多谢白金。
交换机每个端口里面可以指定运行的一个MAC接入，防火墙上就是需要保护运行接入的MAC了。

明天试试。

mac过三层之后就不是原始的mac了

QUOTE:原帖由 chenyx 于 2009-9-21 08:28 发表
mac过三层之后就不是原始的mac了

我也在核实这个问题。

QUOTE:原帖由 race 于 2009-9-21 11:10 发表

我也在核实这个问题。

我的那个方法适用于不跨路由的纯二层网络
如果下面有个三层交换做了路由，理论上讲上层的设备是只能看到 IP 无法看到 MAC 的，因为 MAC 是三层交换的了

不过有个变相的方法可以实现，就是让每个用户运行一个定制的小软件，这个小软件会获取机器的 IP 和 MAC，然后发给所为的 “验证设备”，实现跨三层 IP/MAC 绑定

这个方法需要有开发能力才行了，默认是不支持的，有很多所谓跨三层 IP/MAC 绑定的设备也是类似这样实现的