iptables实现IPMAC绑定

最新推荐文章于 2023-11-29 23:18:32 发布
最新推荐文章于 2023-11-29 23:18:32 发布
阅读量952 收藏 2
点赞数
分类专栏: java 后端 文章标签: macos 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54850825/article/details/123534857
版权
java 同时被 2 个专栏收录
334 篇文章 12 订阅
订阅专栏
后端
22 篇文章 0 订阅
订阅专栏

主机192.168.1.201的MAC地址如下:

$ ip address
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
       valid_lft forever preferred_lft forever

在另外一台主机上配置如下的规则,如果检测到192.168.1.201的MAC地址不等于00:0c:29:38:40:6b,表明为假冒的主机192.168.1.201,将报文丢弃。

# iptables -A INPUT -s 192.168.1.201 -m mac ! --mac-source 00:0c:29:38:40:6b -j DROP 
#
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.1.201        anywhere             MAC ! 00:0C:29:38:40:6B

将第三台主机的接口IP地址设置为192.168.1.201,ping以上配置了IPMAC绑定的主机,没有响应。查看规则信息,如下丢弃了6个报文:

# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   504 DROP       all  --  *      *       192.168.1.201        0.0.0.0/0            MAC ! 00:0C:29:38:40:6B

注意,以上规则配置于INPUT点,对于ARP请求是不生效的。另外,IPMAC绑定也可以配置在FORWARD点,用于检测转发的流量。不支持配置在OUTPUT点。

# iptables -A FORWARD -s 192.168.1.201 -m mac ! --mac-source 00:0c:29:38:40:6b -j DROP

MAC扩展

函数mac_mt_init注册了匹配结构mac_mt_reg。可知以上iptables命令中的mac选项(-m mac)可应用在PREROUTING,LOCAL_IN和FORWARD三个hook中。

static struct xt_match mac_mt_reg __read_mostly = {
    .name      = "mac",
    .revision  = 0,
    .family    = NFPROTO_UNSPEC,
    .match     = mac_mt,
    .matchsize = sizeof(struct xt_mac_info),
    .hooks     = (1 << NF_INET_PRE_ROUTING) | (1 << NF_INET_LOCAL_IN) |
                 (1 << NF_INET_FORWARD),
    .me        = THIS_MODULE,
};
static int __init mac_mt_init(void)
{
    return xt_register_match(&mac_mt_reg);
}

匹配处理函数mac_mt如下,对于以太网设备,在MAC头部合法的情况下,判断其中源MAC地址是否与配置的MAC相等,考虑取反的情况(如以上的取反符号 !),返回匹配结果。

注意,不能对目的MAC地址进行匹配(路由情况下,目的MAC通常为路由器自身地址)。

static bool mac_mt(const struct sk_buff *skb, struct xt_action_param *par)
{
    const struct xt_mac_info *info = par->matchinfo;
    bool ret;

    if (skb->dev == NULL || skb->dev->type != ARPHRD_ETHER)
        return false;
    if (skb_mac_header(skb) < skb->head)
        return false;
    if (skb_mac_header(skb) + ETH_HLEN > skb->data)
        return false;
    ret  = ether_addr_equal(eth_hdr(skb)->h_source, info->srcaddr);
    ret ^= info->invert;
    return ret;

内核版本 5.10

总结

写到这里也结束了,在文章最后放上一个小小的福利,以下为小编自己在学习过程中整理出的一个关于 java开发 的学习思路及方向。从事互联网开发,最主要的是要学好技术,而学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯,更加需要准确的学习方向达到有效的学习效果。

由于内容较多就只放上一个大概的大纲,需要更及详细的学习思维导图的 点击我的Gitee获取
还有 高级java全套视频教程 java进阶架构师 视频+资料+代码+面试题!

全方面的java进阶实践技术资料,并且还有技术大牛一起讨论交流解决问题。

m0_54850825
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux2.4iptablesMAC地址匹配绕过漏洞
站长生活
11-09 508
受影响的系统: Linux kernel 2.4 描述: -------------------------------------------------------------------------------- Linux 2.4内核中包含一个新的功能强大的防火墙体系,名叫Netfilter.它的主要组件是 iptables. Iptables重包含了一个扩展模块是MAC模块,它可以基于M
iptables简单实现IPMAC绑定上网
03-06
iptables简单实现IPMAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptalbes绑定mac
kunatnet的专栏
04-09 739
iptables -A FORWARD -m mac --mac-source 00:0A:EB-9A:E0:32 -j ACCEPT
arptables实现ARP报文IPMAC绑定
redwingz的博客
03-13 1268
iptables实现IPMAC绑定对ARP报文无效,以下使用arptables规则控制ARP报文的IPMAC绑定。在主机192.168.1.127上配置以下规则: # arptables -A INPUT -s 192.168.1.201 --source-mac ! 00:0C:29:38:40:6B -j DROP # # arptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) -j DROP -i any -o any -s 19
如何在Linux路由上设置IPMAC绑定
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
10-27 2029
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP地址连出。对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用
如何在Linux路由上设置IPMAC绑定
07-27
在Linux系统中,路由器设置IPMAC绑定是一个常见需求,用以提高网络的安全性,确保只有特定的设备能够接入互联网。以下是对如何在Linux路由上设置IPMAC绑定的详细知识点解析。 首先,要了解ARP协议的基本原理。...
linux中mac地址绑定方法
09-16
MAC地址绑定是一种有效的防御措施,它可以在系统内手动设置特定IP地址对应的MAC地址,从而确保通信只发生在预先定义的设备之间。这不仅可以防止ARP欺骗攻击,还可以提高网络的安全性和稳定性。 #### 三、MAC地址...
Linux环境下NAT的实现.pdf
09-07
5. **配置网络地址绑定**:在某些情况下,可能需要绑定IP地址和MAC地址,以防止IP欺骗。可以编写脚本来实现这个功能,但具体实现依赖于具体网络环境和需求。 6. **重启网络服务**:执行`service network restart`或...
157-为 instance 配置静态 IP1
08-08
然而,对于某些特定需求,如商业软件绑定特定MAC地址或者需要固定IP的情况,仍然需要为instance配置静态IP。本文将详细介绍在OpenStack中如何为instance配置静态IP的步骤,分为命令行操作和使用Horizon Web GUI两种...
iptables限制MACIP绑定上网+Squid 透明代理How to
kepa520的博客
07-23 1092
实现功能: 1.iptables 防火墙 对外只打开指定端口 2.启用NAT带局域网上网功能 3.开启NAT 端口转发将80端口转发到内网机器 3.设定只允许可指定IP的和对应的MAC才可以上网 4.启用透明代理 将用户端的访问Web(80)转发到squid的8080 5.禁止用户在线听歌和看电影(通过游览器方式) 透过在squid中限制文件即可 系统及网络环境 1.系统为Re
iptables匹配条件
weixin_53150440的博客
09-26 474
iptables匹配条件,怎么不登录它机器,看到它的mac地址?arp协议
iptables网关配置,指定内网MAC地址主机访问外网
沙洲浪子的专栏
10-30 2190
      刚调到新单位上班,由于单位对上互联网主机有要求,必须经过领导审批的电脑才允许上互联网,而单位上互联网使用的是小型ADSL路 由器,最多能对30个MAC地址进行绑定,所以领导给了我一台老的服务器,要我设置软路由来代替ADSL路由器。拿到服务器,我简单看了一下配置,再到网上搜了一下软路由的相关资料,觉得用LINUX+IPTABLES来设置是最合适不过的了,于是就在服务器上装了CentOS
防火墙 iptables的使用
最新发布
X2683933654的博客
11-29 460
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙。
防火墙篇--iptables
Cpureman的博客
08-01 484
文章目录前言:Liunx包过滤防火墙概述:iptables的表,链结构默认包括5种规则链默认包括4个规则表数据包过滤的匹配流程:iptables安装:iptables的基本语法:iptables的管理选项:规则的匹配条件:SNAT策略概述:SNAT策略实验DNAT策略概述:DNAT策略实验防火墙规则的备份和还原: 前言: iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(N
使用IPtables允许指定mac地址可以访问Linux服务器
shishui07的博客
08-06 3951
使用IPtables允许指定mac地址可以访问Linux服务器实验环境iptables配置方式 实验环境 rhel7.5 虚拟机两台和Windows客户端一个 iptables配置方式 使用iptables可以允许指定ip地址访问本地服务器。也可以配置允许指定mac地址访问本地服务器 本实验中首先配置拒绝所有对本地服务器22端口访问,在terminal执行该命令后服务器会截断所有对22端口的访问,所以terminal会断开,因此请在服务器后台执行该命令,否则会出现连不上服务器的情况,后续命令无法执行。 ip
安全技术和iptables防火墙
pupcarrot的博客
10-06 119
此时还无法使用,要将添加的自定义链及规则添加到系统链之下让系统能够识别若自定义规则已被系统引用,先删除系统链下的自定义规则,然后删除自定义链下的自定义规则,最后删除自定义链。
linux服务器mac地址过滤,iptables 限制MACIP地址
weixin_35844236的博客
04-28 6119
1、阻止MAC地址为B8:EE:65:DE:17:E3主机的所有通信:iptables -A INPUT -m mac --mac-source B8:EE:65:DE:17:E3 -j DROP2、允许MAC地址为B8:EE:65:DE:17:E3主机访问22端口:iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source...
防火墙iptables
m0_71593537的博客
08-20 1041
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
利用iptables实现IP地址与端口筛选策略
使用`iptables -I INPUT -s 172.16.0.201 -j DROP`命令,可以在INPUT链中插入一条规则,指定源IP地址为172.16.0.201的数据包会被丢弃,实现屏蔽效果。如果需要解封,可以使用`iptables -D INPUT -s 172.16.0.201 -j ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值