At Tue, 18 Jun 2013 20:15:23 +0400,
Alex Dubinin wrote:
>
> [1 ]
> 17.06.2013 12:39, Victor Wagner пишет:
> > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
> >
> >>> mac меняется легко.
> >> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> >> только с перечисленных M
17.06.2013 12:39, Victor Wagner пишет:
> On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
>
>>> mac меняется легко.
>> Ну не как способ защиты, а идея была например разрешить коннект к SSH
>> только с перечисленных MAC. Идея была примерно такая.
> В ssh для этой цели предусмотрены криптографиче
17.06.2013 04:06, Mikhail A Antonov пишет:
> Правила, которые я привёл делают так:
> * 3 коннекта в минуту - разрешено.
> * Больше 3 коннектов в минуту - в дроп.
> * Если за минуту дропа пришла ещё одна попытка подключиться - таймер
> доставания из дропа начинает отсчёт заново.
> * Плюс заведомо бе
16.06.2013 10:40, Alex Dubinin пишет:
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> Эта строка точно дописана? Никак не пойму что она делает? По-моему она
> должна "маркировать" что-то как-то например так:
> iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set -
16.06.2013 02:06, Mikhail A Antonov пишет:
> Для SSH удобно делать так:
> iptables -N SSH
> iptables -A INPUT -p tcp --dport 22 -j SSH
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
> --update --seconds
15.06.2013 14:29, Alex Dubinin пишет:
> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> только с перечисленных MAC. Идея была примерно такая.
Для SSH удобно делать так:
iptables -N SSH
iptables -A INPUT -p tcp --dport 22 -j SSH
iptables -A INPUT -p tcp --dport 22 -m state --
At Sat, 15 Jun 2013 13:58:47 +0400,
Mikhail A Antonov wrote:
>
> [1 ]
> 15.06.2013 11:31, Alex Dubinin пишет:
>
> > Сама идея интерессная, но
> Но бестолкова в данном случае.
>
> > Т.о. как я понял фильтровать по mac не получится, потому как
> > оборудование провайдера перебивает мой mac своим.
At Sat, 15 Jun 2013 13:51:50 +0400,
Artem Chuprina wrote:
>
> MAC-адреса ставятся в заголовках Ethernet-пакетов, а отношение к
> делу имеет в основном устройство IP.
Артем, при всем уважении, FIX:
> MAC-адреса ставятся в заголовках Ethernet-фреймов, а отношение к
> делу имеет в основном устройст
15.06.2013 13:58, Mikhail A Antonov пишет:
> 15.06.2013 11:31, Alex Dubinin пишет:
> Фильтрацию по MAC можно использовать только в пределах одного
> L2-сегмента. Чаще всего её используют чтобы соседи не воровали
> интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip.
> Когда-то дав
15.06.2013 11:31, Alex Dubinin пишет:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацию по MAC можно использовать только в пределах одного L2-сегмента.
Чаще всего её используют чтобы соседи не воровали интернет друг у друга.
На свитче привязка порт+mac, на шлюзе - mac+ip.
Когда-то давно считал
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
15:00:18 +0600:
>> >> Т.о. как я понял фильтровать по mac не получится, потому как
>> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> >> ли это поменять? Ну например обратившись к прову?
On Sat, Jun 15, 2013 at 12:41:50PM +0400, Artem Chuprina wrote:
> >> Т.о. как я понял фильтровать по mac не получится, потому как
> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> >> ли это поменять? Ну например обратившись к прову? Потому как очень
> >> хочется та
At Sat, 15 Jun 2013 11:31:59 +0400,
Alex Dubinin wrote:
>
> Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT=
> MAC=68:05:ca:01:f1:04:00:1b:0d:e5:f7:00:08:00 SRC=SRC_IP DST=DST_IP
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой m
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
13:50:35 +0600:
>> Т.о. как я понял фильтровать по mac не получится, потому как
>> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> ли это поменять? Ну например обратившись к прову? Потому как
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим.
Ламерская формулировка, но результат примерно такой...
> Так должно быть?
Да.
> Можно ли это поменять? Ну например о
On Sat, Jun 15, 2013 at 12:07:32PM +0400, Alex Dubinin wrote:
> > Фильтрацией чего?
> Фильтрацией пакетов
Каких пакетов? Где?
> > Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
> Базовые основы я знаю.
А чего тогда спрашиваете?
> P.S. Спасибо за дельный совет - теперь я точно ра
15.06.2013 11:50, Andrey Rahmatullin пишет:
> Фильтрацией чего?
Фильтрацией пакетов
> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
Базовые основы я знаю.
P.S. Спасибо за дельный совет - теперь я точно разберусь в своём вопросе.
signature.asc
Description: OpenPGP digital signa
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацией чего?
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> ли это поменять? Ну например обра
Решил поиграться с фильтрацией по mac'ам. Сама идея интерессная, но
столкнулся с такой проблемой: настроил логирование пакетов (для начала),
чтобы так сказать потренироваться. И не прогадал. В логах появляются
такие строки:
Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT=
MAC=68:05:ca
19 matches
Mail list logo
