MAC filtering iptables

<small>Z PVwiki</small>

Jak zakázat MAC adresu na síťovém adaptéru routeru - DROP zahazuje, REJECT odmítá už na vstupu


iptables -A FORWARD -p ! icmp -i wlan0 -m mac --mac-source 00:60:97:0a:a8:90 -j DROP


! icmp = vše kromě icmp (např. ping )

Pokud je již MAC asociovaná a je nutné dosáhnout jejího zákazu je potřeba ji vyhodit příkazem:

iwpriv interface kickmac <MAC-Adresa>

Toto je nutné aplikovat po restartu konfigurace řízení MAC a to i přesto, že by daná MAC měla být implicitně nebo explicitně zakázaná. Důvodem je to, že skript řízení MAC přichází ke slovu pouze ve chvíli, kdy má být MAC nově asociovaná.


iptables -A FORWARD -p tcp --dport ! 80 -i wlan0 -m mac --mac-source 00:60:97:0a:a8:90 -j DROP


pro MAC adresu uvedenou v řetězci zakáže na rozhraní wlan0 všechny porty protokolu TCP mimo port 80

v kombinaci s nastavením Anonym na iGW a DROP na firewallu lze dosáhnout toho, že se dostane jen an wnitřní web a nikam jinam


iptables -A FORWARD -p udp -i wlan0 -m mac --mac-source 00:60:97:0a:a8:90 -j DROP


tento řetězec mu zakáže komunikaci UDP protokolem


Sniffovani paketu konkretniho klienta:

tcpdump -n -w soubor.raw -i wlan0 host 10.133.999.999 -s 1500

Pozor! Pokud uzivatel naruzive stahuje, vysledny soubor muze byt prilis velky!!

Osobní nástroje