Linux下客户端MAC地址控制

最新推荐文章于 2022-11-01 19:31:56 发布
最新推荐文章于 2022-11-01 19:31:56 发布
阅读量2.6k 收藏
点赞数
分类专栏: 安全 LINUX 文章标签: linux internet access 服务器 路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LUES/article/details/319732
版权

Linux作为服务器操作系统,具有服务稳定、功能强大的特点。自Linux 2.4内核以来,其中又内置了NetFilter包过滤架构。它从而具有强大的数据包过滤功能,保证用作软件路由器时更得心应手。例如,很多中小企业使用 Linux软件路由器将内部网络接入Internet,其效果并不比某些专有系统逊色,而且在功能定制、应用扩展等方面更有优势。

在接入Internet中,不同的用户应当拥有不同的权限,为了防止权限盗用问题,对用户的识别非常重要。目前,常见的识别方法有用户名/密码识别、用户IP地址识别和用户网卡物理地址(MAC地址)识别等。

基于用户名/密码的认证是传统的识别方法。它在管理和使用上都比较繁琐,客户端也需要进行配置,大部分办公用户不能独立完成此类配置,对密码的保护也不够。这种方法往往是既加重了网络管理员的负担,又达不到认证的目的。

IP地址识别虽然可以做到客户端零设置,但是由于IP地址修改方便,无法杜绝IP地址盗用的情况,所以基本无安全性可言。

再来看网卡的物理地址。由于普通用户无法修改网卡的MAC地址,并且它和IP地址一样都是惟一的,完全可以用来识别用户,不需要客户端进行任何配置。即便是网络发生了变化,如扩容、改建等,导致客户端IP地址或用户名改变也不会影响到MAC地址。因此,通过判断客户端MAC地址的方法来识别用户,实现所谓的透明认证是一种简单、有效的选择。

下面我们来讨论当Linux被用作Internet网关,并集成代理服务时的MAC地址透明认证方法。目前,通过MAC地址识别用户的方法主要有使用iptables的mac匹配模块、使用代理服务器自身的mac地址检查功能和利用静态ARP表进行控制三种。

使用iptables的MAC匹配模块



在Linux 2.4内核中,包过滤模块发生了根本性的变化,完全由内核控制,效率得到了很大的提高。控制内核包过滤的工具,也用iptables取代了 ipchains。在iptables的标准发布中,就带有MAC地址匹配的模块。我们可以通过iptables -m mac 命令来装载它。

假设局域网通过一Linux网关接入Internet,我们为拥有上网权限的A用户分配了IP地址192.168.1.25/32,其MAC地址为00: 02:01:50:bb:53。根据TCP/IP原理,最终封装后的IP数据包实际上有一个包含网卡MAC地址的字段。因此,我们可以通过检查这一字段来达到防止盗用IP的目的。在这个例子中,就是在Linux网关上检查来自192.168.1.25/32的包,看看这些包的MAC地址是不是00:02: 01:50:bb:53。具体命令如下: 

     
     # 设置PREROUTING链的默认规则为丢弃,以禁止所有包通过。
iptables -t nat -P PREROUTING DROP
# 检查IP地址为192.168.1.25/32的用户的MAC地址。如果与指定的MAC地址不匹配,
说明源自192.168.1.25的包并不是从该网卡上发出的,即是非法用户,就应当丢弃这些包。
iptables -t nat -A PREROUTING -s 192.168.1.25 -m mac -mac-source ! 
00:02:01:50:bb:53 -j DROP
# 如果MAC地址匹配,包才能到达这里,并被允许通过。
iptables -t nat -A PREROUTING -s 192.168.1.25 -j ACCEPT


这样,即使有一个未授权用户B自己设置了IP地址为192.168.1.25(由于本机设置始终优先于DHCP,所以这种情况是很普遍的),当包通过网关时由于MAC地址不匹配,他仍然不能拥有A用户的权限。这样就达到了识别用户的目的。

使用代理服务器自身的MAC地址检查功能



Linux 下使用较多的代理服务器是Squid和Socks5。此处以Squid为例,说明如何检查客户端MAC地址。由于Squid的RPM发布版通常没有启用这一特性,这种版本使用MAC匹配会提示错误的acl类型,所以我们必须手工编译源代码。首先下载squid-2.x-src.tar.gz,然后用tar xvfz squid....tar.gz命令解开源代码,并进入展开后的子目录,用./configure配置编译选项。除了启用自己需要的特性外,再加上参数 -enable-arp-acl,即允许设置acl(Access Control List)为arp(MAC地址匹配)方式。然后执行make, make install。

安装完成后,就可以修改squid.conf来匹配MAC地址了,如下所示: 

     
     # 设置一个accept_group列表,该用户的MAC地址为00:02:01:50:bb:53。
acl access_group arp 00:02:01:50:bb:53
# 根据最低安全要求,设置all列表,包含源IP地址为0/0,即所有用户。
acl all src 0/0 
# 允许accept_group组正常访问 
http_access allow accept_group 
# 禁止其他所有未经授权的访问 
http_access deny all


启动Squid,并配置正确的缓存目录和端口转发。

当Squid 收到请求时,无论请求用户来自哪个IP地址或主机,它都会检查其MAC地址,并且只允许MAC地址为00:02:01:50:bb:53的请求通过。这样也可以实现客户端零配置的用户识别。对于使用iptables + Squid做透明代理的Linux网关来说,可以选择iptables或Squid来识别用户。

利用静态ARP表进行控制



我们知道,ARP(Address Resolution Protocol,地址转换协议)被当作底层协议,用于IP地址到物理地址的转换。在以太网中,所有对IP的访问最终都转化为对网卡MAC地址的访问。

不妨设想一下,如果主机A的ARP列表中,到主机B的IP地址与MAC地址对应不正确,由A发往B数据包就会发向错误的MAC地址,当然无法顺利到达B,结果是A与B根本不能进行通信。Linux可以通过arp命令控制ARP转换,即IP到MAC的转换。因此,也能利用这一功能对用户MAC地址进行匹配。下面我们就来看看arp命令的用法。

输入arp将显示当前所有ARP转换记录,类似于这样:

AddressHWtypeHWaddressFlags MaskIface
www.myhome.netether00:06:29:57:16:F5Ceth0
218.200.80.177ether00:01:30:F4:32:40Ceth1
ntc9.myhome.netether00:02:1E:F1:92:C2Ceth0
192.168.1.25ether00:02:1E:F1:92:C2Ceth0



由此可以看到,当前系统保留的IP地址与MAC地址一一对应,并指明了硬件类型(Hwtype)和通信所使用的接口(Iface)。不过这些都是动态生成的,无需手工干预。我们要做的恰恰是手工干预这一过程。

我们需要用到arp命令的另一重要功能,就是手工更改这一对应关系。此外,该命令还可以读取文本文件中的ARP记录,其默认文件是/etc/ethers。也就是说,当输入ARP-f的时候,系统就会读取/etc/ethers这个文件,并以其中的项目取代系统当前的ARP记录。假设/etc/ethers 文件内容如下: 

     
     192.168.1.25 00:02:01:50:bb:53


然后执行命令arp -f。

这时,我们查看系统ARP表,会发现无论192.168.0.25原来对应的MAC地址是什么,都会被新的所取代:

AddressHWtypeHWaddressFlags MaskIface
www.myhome.netether00:06:29:57:16:F5Ceth0
218.200.80.177ether00:01:30:F4:32:40Ceth1
ntc9.myhome.netether00:02:1E:F1:92:C2Ceth0
192.168.1.25ether00:02:01:50:bb:53Ceth0



此时,本机发往192.168.1.25的数据包目标MAC地址将由原来的00:02:1E:F1:92:C2改为00:02:01:50:bb:53。显然,如果192.168.1.25所在网卡的MAC地址并非00:02:01:50:bb:53,数据包就无法到达正确的目的地,那么它们也就无法通信了。这样也达到了识别非法用户的目的。

当然,控制MAC地址的方法还不止这些,例如可以利用交换机的端口管理功能识别用户。根据交换机的原理,它是直接将数据发送到相应端口,那么就必须保有一个数据库,包含所有端口所连网卡的MAC地址,由此可见,控制每个端口使用的MAC地址理论上是完全可行的。大部分中高端交换机如3Com SuperStack系列等,都具有这种功能。具体操作与交换机型号有关,这里就不赘述。

最后,提醒一下,MAC地址控制并非绝对保险。正如这个世界上没有绝对解不开的密码一样,所谓安全都是相对于特定的环境而言。现在,很多网卡都支持MAC地址的软件修改,Linux和Windows本身也都有办法修改这一物理地址。不过由于这种方式相对稳定,摒弃了繁琐的客户端设置,对用户完全透明,而且具备很强的可操作性,所以在某种程度上说是安全的。

http://www.youren.com/Article/computer/software/linux/200503/2623.html

LUES
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 防火墙过滤mac地址,OpenWrt设置mac地址过滤和使用Iptables防火墙禁止mac地址上网...
weixin_42117037的博客
05-12 3641
本文介绍使用OpenWrt限制特定mac地址的方法,一种是使用无线网络mac地址过滤,一种是使用Iptables防火墙阻止策略。一。使用mac-filter功能限制mac地址上网方法1.web界面:定位到菜单Network->wifi,如下图: 点击相应SSID的Edit, 如上图,在Interface Configuration栏目MAC-Filter里面设置模式,并添加mac地址。保存...
linux服务器mac地址过滤,iptables 限制MAC或IP地址
weixin_35844236的博客
04-28 6047
1、阻止MAC地址为B8:EE:65:DE:17:E3主机的所有通信:iptables -A INPUT -m mac --mac-source B8:EE:65:DE:17:E3 -j DROP2、允许MAC地址为B8:EE:65:DE:17:E3主机访问22端口:iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source...
linux下dhcp对client的MAC进行控制
03-31
linux下dhcp对client的MAC进行控制,只运行加入访问列表的主机获取ip地址,禁止没有加入列表MAC主机获取ip; shell脚本为自动发现新加入主机MAC地址并加入运行列表, add为shell脚本 class为允许列表 dhcp.conf为主配置文件 运行对应网络的shell脚本运行,会抓取对应网络新加入的mac地址,并加入运行列表; 对于禁止获取ip地址的主机,可以在允许列表里找相应的mac地址,加注释符号#。
linux MAC地址绑定
为梦想奋斗
10-02 1501
1、先使用arp和arp -a查看一下当前ARP缓存列表 [root@ftp]# arp Address                  HWtype  HWaddress           Flags Mask            Iface 192.168.0.1
linux内核mac设置,MAC访问控制机制在Linux系统中的实现:SELinux
weixin_39851914的博客
05-01 477
SELinux全称:Security-Enhanced Linux,安全加强的Linux;SELinux系统的本来名称为MAC:强制访问控制;SELinux就是MAC访问控制机制在Linux系统中的实现;操作系统安全等级标准(橙皮书):D级别(最低安全级别)C级别:C1, C2 (DAC自主访问控制,例如windows等系统的安全级别为C1级别)B级别:B1, B2, B3 (强制访问控制级别M...
迅为4418开发板Linux系统修改和固定MAC地址
mucheni的博客
09-07 643
使用命令“reboot”,重启开发板,系统启动之后,再次使用命令“ifconfig”,如下图所示,可以看到网络。使用命令“vi /etc/eth0-setting”,打开之后,如下图所示,可以发现和上个图中的配置对应。本文介绍如何修改 Qt 系统的 MAC 等网络参数,Qt 系统的修改方法和根文件系统一模一样,可以通用。在将 Qt 系统或者根文件系统烧写到开发板之后,启动开发板,如下图所示,只需要修改这个配置文件即可。如下图所示,使用命令“ifconfig”,可以查看到 MAC 地址等网络参数。
Linux客户端MAC地址控制.pdf
09-07
总结起来,Linux下的客户端MAC地址控制是一种实用的网络安全策略,结合iptables等工具,可以有效地限制和管理网络资源的访问,防止权限滥用,提升网络安全性。同时,这种方法不需要客户端配置,减少了管理员的工作...
php获取服务器端mac和客户端mac的地址支持WIN/LINUX
12-19
目前支持WIN/LINUX系统 获取机器网卡的物理(MAC)地址 **/ class GetmacAddr{ var $result = array(); // 返回带有MAC地址的字串数组 var $macAddr; /*构造*/ function __construct($osType){ switch ( strtolower...
php/js获取客户端mac地址的实现代码
12-18
在PHP和JavaScript中获取客户端MAC地址是一个相对复杂的过程,因为浏览器出于隐私考虑并不直接提供这样的信息。然而,这里提供的PHP代码示例展示了如何通过不同操作系统(主要是Linux和Windows)的命令行工具来尝试...
Linux下的快盘客户端
最新发布
07-07
Linux下的快盘客户端,也称为“Fuse For KuaiPan”,是一种专门为Linux用户设计的应用程序,它利用了FUSE(File System in Userspace)框架来实现对快盘服务的访问。快盘,作为一款云存储服务,通常在Windows或Mac ...
Linux下的DHCP客户端,纯C代码
08-11
Linux下的DHCP客户端,纯C代码,有说明文档,可以编译和测试。实际测是可以使用的,可以发送DHCP请求,并获得返回的地址信息。
根据mac地址设置设备禁止访问外网,可以访问内网
一杯凉白开
11-01 1207
通过iptables设置内外网访问权限,根据mac地址设置设备禁止访问外网,可以访问内网
端口内基于MAC地址过滤的ACL访问控制
weixin_33910385的博客
09-30 7882
上一次的工程实例我们解决了CISCO3550交换机的某个端口下面如果只连接了一台主机时的端口安全设置方法,即只有指定的主机才能访问网络,其它的主机(以MAC地址为唯一标识)是无法通过CISCO的这个端口访问网络,这种措施虽然有效,但是却有一定的局限性,具体表现为CISCO3550交换机的很多端口下面是连接有交换机,而且还是普通的二层交换机,这也就相当于一个端口下面有多台主机通...
ubuntu中设置静态IP和MAC地址,重启不影响
Alan0521的专栏
08-08 3027
一般来说,常用的第一块以太网卡在Linux的名称为eth0,以此为例来说明。这种设置方法设置后会永久保存,重启后不变 1、临时性地修改MAC并设置静态IP(重启networking后设置复原) 设置MAC地址: #关闭网卡设备,否则会报告系统忙,无法更改: sudo ifconfig eth0 down#修改MAC地址,填写修改后的MAC sudo ifconfig eth0 hw
MAC地址 单播,组播,广播
假不假,生来只为写代码
06-28 6312
    今天调试了一个程序,我把板子的MAC地址随便设置为MCU的全球唯一码了,怎么也调试不通,最后更换了MAC地址通了,弄好之后,“百思不得其解”,应网上浏览了一下MAC地址相关的资料,才恍然大悟,原来MAC地址也分组播,广播地址,广播地址为全1  即FF.FF.FF.FF.FF.FF这个比较常见,ARP就是使用MAC广播地址的,但还有一个组播MAC地址,此地址只是第1个字节的b0为1,如果你把...
macOS用的是linux系统吗
vecloud的博客
07-19 5479
linux是一类Unix操作系统的统称,严格来说,linux系统只有内核叫“linux”,而linux也只是表示其内核,但因为习惯使然,人们习惯了用linux称呼这类系统。今天小编给大家分享的是macOS用的是linux系统吗,相信很多人都不太了解,为了让大家更加了解,所以给大家总结了以下内容,一起往下看吧。,利用协议,还可以实现双边加速,利用普通的互联网链路,实现专线的使用效果。独有的链路复制功能,实现重要业务的双重备份。macos是苹果机专用系统,是基于unix内核的图形化操作系统。......
linux配置mac地址代码,Linux下永久改动MAC地址和ifconfig命令总结(示例代码)
weixin_34199121的博客
05-12 818
1. 固定一个MAC地址,特别是在使用多个虚拟机的时候linux环境下:用root身份登录,在/etc/rc.d/rc.local里加上这三句ifconfig eth0 downifconfig eth0 hw ether 00:0C:18:EF:FF:EDifconfig eth0 up这样又一次reboot后就不怕MAC复原了。ifconfig [Interface]Interface是可选项...
socket获取客户端mac地址
05-23
在Socket编程中,获取客户端MAC地址需要使用操作系统提供的相关API。以下是在Linux和Windows平台中获取客户端MAC地址的方法。 在Linux平台中,可以通过获取客户端IP地址,然后通过ARP协议查询对应的MAC地址。具体实现步骤如下: 1. 使用getpeername函数获取客户端的IP地址 2. 使用ioctl函数发送SIOCGARP命令,查询对应IP地址的MAC地址 3. 解析返回的ARP缓存表项,获取MAC地址 以下是示例代码: ``` #include <sys/socket.h> #include <arpa/inet.h> #include <net/if.h> #include <netinet/in.h> #include <netdb.h> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <errno.h> #include <sys/ioctl.h> #include <net/if_arp.h> int get_client_mac(int sockfd, unsigned char *mac) { struct sockaddr_in cli_addr; socklen_t cli_len = sizeof(cli_addr); char ip_str[INET_ADDRSTRLEN]; char mac_str[18]; // 获取客户端IP地址 if (getpeername(sockfd, (struct sockaddr *)&cli_addr, &cli_len) == -1) { perror("getpeername() failed"); return -1; } inet_ntop(AF_INET, &cli_addr.sin_addr, ip_str, INET_ADDRSTRLEN); // 查询ARP缓存表项,获取MAC地址 struct arpreq areq; memset(&areq, 0, sizeof(areq)); struct sockaddr_in *sin = (struct sockaddr_in *)&areq.arp_pa; sin->sin_family = AF_INET; sin->sin_addr.s_addr = cli_addr.sin_addr.s_addr; int fd = socket(AF_INET, SOCK_DGRAM, 0); if (fd == -1) { perror("socket() failed"); return -1; } if (ioctl(fd, SIOCGARP, &areq) == -1) { close(fd); perror("ioctl(SIOCGARP) failed"); return -1; } close(fd); // 解析MAC地址 unsigned char *ptr = (unsigned char *)&areq.arp_ha.sa_data[0]; snprintf(mac_str, sizeof(mac_str), "%02X:%02X:%02X:%02X:%02X:%02X", ptr[0], ptr[1], ptr[2], ptr[3], ptr[4], ptr[5]); sscanf(mac_str, "%hhx:%hhx:%hhx:%hhx:%hhx:%hhx", &mac[0], &mac[1], &mac[2], &mac[3], &mac[4], &mac[5]); return 0; } ``` 在Windows平台中,可以使用GetAdaptersAddresses函数获取本地网卡信息,然后通过比对客户端IP地址和本地网卡的IP地址,获取对应的MAC地址。以下是示例代码: ``` #include <winsock2.h> #include <iphlpapi.h> #include <stdio.h> #pragma comment(lib, "iphlpapi.lib") #pragma comment(lib, "ws2_32.lib") int get_client_mac(SOCKET sockfd, unsigned char *mac) { struct sockaddr_in cli_addr; int cli_len = sizeof(cli_addr); char ip_str[INET_ADDRSTRLEN]; char mac_str[18]; // 获取客户端IP地址 if (getpeername(sockfd, (struct sockaddr *)&cli_addr, &cli_len) == -1) { perror("getpeername() failed"); return -1; } inet_ntop(AF_INET, &cli_addr.sin_addr, ip_str, INET_ADDRSTRLEN); // 获取本地网卡信息 ULONG size = 0; PIP_ADAPTER_ADDRESSES pAddresses = NULL; DWORD dwRetVal = GetAdaptersAddresses(AF_INET, GAA_FLAG_INCLUDE_PREFIX, NULL, pAddresses, &size); if (dwRetVal == ERROR_BUFFER_OVERFLOW) { pAddresses = (IP_ADAPTER_ADDRESSES *)malloc(size); dwRetVal = GetAdaptersAddresses(AF_INET, GAA_FLAG_INCLUDE_PREFIX, NULL, pAddresses, &size); } if (dwRetVal != NO_ERROR) { perror("GetAdaptersAddresses() failed"); return -1; } // 比对IP地址,获取对应的MAC地址 PIP_ADAPTER_ADDRESSES pCurrAddresses = pAddresses; while (pCurrAddresses) { if (pCurrAddresses->FirstUnicastAddress) { for (PIP_ADAPTER_UNICAST_ADDRESS pUnicast = pCurrAddresses->FirstUnicastAddress; pUnicast; pUnicast = pUnicast->Next) { struct sockaddr_in *sin = (struct sockaddr_in *)pUnicast->Address.lpSockaddr; if (strcmp(ip_str, inet_ntoa(sin->sin_addr)) == 0) { snprintf(mac_str, sizeof(mac_str), "%02X:%02X:%02X:%02X:%02X:%02X", pCurrAddresses->PhysicalAddress[0], pCurrAddresses->PhysicalAddress[1], pCurrAddresses->PhysicalAddress[2], pCurrAddresses->PhysicalAddress[3], pCurrAddresses->PhysicalAddress[4], pCurrAddresses->PhysicalAddress[5]); sscanf(mac_str, "%hhx:%hhx:%hhx:%hhx:%hhx:%hhx", &mac[0], &mac[1], &mac[2], &mac[3], &mac[4], &mac[5]); free(pAddresses); return 0; } } } pCurrAddresses = pCurrAddresses->Next; } free(pAddresses); return -1; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值