Регистрация Войти
Рейтинг:1
Adrian Cornish avatar Server

Как заблокировать внутренний хост из Интернета с помощью firewalld по MAC-адресу

флаг ph
Adrian Cornish

Я пытаюсь запретить некоторым хостам в сети выходить наружу/звонить домой.

Итак, у меня есть 2 зоны.

[root@eagle ~]# firewall-cmd --get-active-zones 
внешний
  интерфейсы: enp2s0
внутренний
  интерфейсы: eno1

С маскарадом для внешний

[root@eagle ~]# firewall-cmd --zone=internal --query-masquerade
нет
[root@eagle ~]# firewall-cmd --zone=external --query-masquerade
да

И у меня есть богатое правило, чтобы сбрасывать данные для MAC-адреса, который я хочу

[root@eagle ~]# firewall-cmd --zone=external --list-rich-rules 
источник правила mac="40:16:3B:63:72:E0" падение

Но, похоже, это не работает. Очевидные вещи, которые я проверил, добавляют их как постоянные и убеждаются, что я перезагрузил правила.

Любая помощь приветствуется

102
0 + 0
djdomi avatar
флаг za
djdomi
Я считаю, что это может быть хороший вопрос, но не думаете ли вы, что вам следует добавить некоторую информацию о том, какой тип брандмауэра вы используете? Например, вы говорите, что я вожу машину никто не узнает, на какой машине вы ездите (Или это секрет?) :-)
1
Ответить
Adrian Cornish avatar
флаг ph
Adrian Cornish
Если вы имеете в виду серверную часть для firewalld, это nftables.
0
Ответить
Рейтинг:1
avatar Server
флаг us
Tero Kilkanen

Вы добавляете правило MAC для внешней зоны, которая enp2s0. Кадры Ethernet, отправляемые через этот интерфейс, имеют MAC-адрес enp2s0 в качестве исходного MAC-адреса.

Если вы хотите сопоставить устройства во внутренней сети, вам необходимо добавить правила сопоставления MAC-адресов в внутренний зона, использующая интерфейс эно1, и видит MAC-адреса клиентов как MAC-адреса источника, когда получает кадры от клиентов.

Это означает, что вам также необходимо добавить соответствие IP-адреса назначения в правило.

0 + 0
Adrian Cornish avatar
флаг ph
Adrian Cornish
Если я добавлю его во внутреннюю зону, не будет ли это означать, что он не сможет общаться ни с чем другим в локальной сети. Будет ли эквивалент iptables POSTROUTING в nftables для добавления туда правила?
0
Ответить
флаг us
Tero Kilkanen
Сторонний трафик LAN включен на L2, он не проходит через IPTables. Если вы запускаете мост на коробке, соединяющей разные интерфейсы на стороне LAN, мост по-прежнему назначается внутренней зоне, поэтому трафик по-прежнему течет.
1
Ответить
Adrian Cornish avatar
флаг ph
Adrian Cornish
Спасибо за вашу помощь. Я переместил правило MAC во внутреннее, но мне не совсем понятно, что вы имели в виду под целевым IP-адресом - я хочу заблокировать все исходящие. Я отключил все соединения с `conntrack`, но 40:16 все еще вылезает. `15:27:20.930195 40:16:3b:63:72:e0 > 64:00:6a:57:f8:1f, ethertype IPv4 (0x0800), длина 1514: 192.168.124.61.46524 > 52.20.197.208.443 : Флаги [.], seq 543929265:543930713, ack 3518997520, win 331, опции [nop,nop,TS val 36061421 ecr 1532501099], длина 1448`
0
Ответить
флаг us
Tero Kilkanen
Пакеты видны на внутреннем интерфейсе, который вы использовали при запуске TCPDump. Пакеты не должны быть видны на исходящем интерфейсе.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.