iptables实现IPMAC绑定

最新推荐文章于 2024-05-14 13:20:36 发布
最新推荐文章于 2024-05-14 13:20:36 发布
阅读量243 收藏
点赞数
分类专栏: java 后端 文章标签: macos 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393619/article/details/123483723
版权
java 同时被 2 个专栏收录
287 篇文章 20 订阅
订阅专栏
后端
12 篇文章 1 订阅
订阅专栏
本文介绍了如何使用iptables在Linux系统中实现IP地址与MAC地址的绑定,通过配置规则防止MAC地址欺骗。当检测到源MAC地址与预设不符时,系统会丢弃相关报文。同时,提到了MAC扩展函数mac_mt_init及其匹配处理函数mac_mt的工作原理,该函数用于检查以太网设备的源MAC地址是否匹配,确保网络流量的安全性。
摘要由CSDN通过智能技术生成

主机192.168.1.201的MAC地址如下:

$ ip address
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
       valid_lft forever preferred_lft forever

在另外一台主机上配置如下的规则,如果检测到192.168.1.201的MAC地址不等于00:0c:29:38:40:6b,表明为假冒的主机192.168.1.201,将报文丢弃。

# iptables -A INPUT -s 192.168.1.201 -m mac ! --mac-source 00:0c:29:38:40:6b -j DROP 
#
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.1.201        anywhere             MAC ! 00:0C:29:38:40:6B

将第三台主机的接口IP地址设置为192.168.1.201,ping以上配置了IPMAC绑定的主机,没有响应。查看规则信息,如下丢弃了6个报文:

# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   504 DROP       all  --  *      *       192.168.1.201        0.0.0.0/0            MAC ! 00:0C:29:38:40:6B

注意,以上规则配置于INPUT点,对于ARP请求是不生效的。另外,IPMAC绑定也可以配置在FORWARD点,用于检测转发的流量。不支持配置在OUTPUT点。

# iptables -A FORWARD -s 192.168.1.201 -m mac ! --mac-source 00:0c:29:38:40:6b -j DROP

MAC扩展

函数mac_mt_init注册了匹配结构mac_mt_reg。可知以上iptables命令中的mac选项(-m mac)可应用在PREROUTING,LOCAL_IN和FORWARD三个hook中。

static struct xt_match mac_mt_reg __read_mostly = {
    .name      = "mac",
    .revision  = 0,
    .family    = NFPROTO_UNSPEC,
    .match     = mac_mt,
    .matchsize = sizeof(struct xt_mac_info),
    .hooks     = (1 << NF_INET_PRE_ROUTING) | (1 << NF_INET_LOCAL_IN) |
                 (1 << NF_INET_FORWARD),
    .me        = THIS_MODULE,
};
static int __init mac_mt_init(void)
{
    return xt_register_match(&mac_mt_reg);
}

匹配处理函数mac_mt如下,对于以太网设备,在MAC头部合法的情况下,判断其中源MAC地址是否与配置的MAC相等,考虑取反的情况(如以上的取反符号 !),返回匹配结果。

注意,不能对目的MAC地址进行匹配(路由情况下,目的MAC通常为路由器自身地址)。

static bool mac_mt(const struct sk_buff *skb, struct xt_action_param *par)
{
    const struct xt_mac_info *info = par->matchinfo;
    bool ret;

    if (skb->dev == NULL || skb->dev->type != ARPHRD_ETHER)
        return false;
    if (skb_mac_header(skb) < skb->head)
        return false;
    if (skb_mac_header(skb) + ETH_HLEN > skb->data)
        return false;
    ret  = ether_addr_equal(eth_hdr(skb)->h_source, info->srcaddr);
    ret ^= info->invert;
    return ret;

内核版本 5.10

小东西的东西
关注
专栏目录
LINUX环境下的IPMAC地址绑定
测试
06-27 792
Linux服务器承担整个校园网访问因特网的网关,在Linux环境中,有一个非常灵活的IP过滤工具是iptables,这个工具在使用的时候可以设置多个条件同时满足才允许通过IP数据,利用这个功能就可以实现地址绑定功能。设计理念是只有IP地址和MAC地址同时满足条件时才允许数据转发,命令如下:iptables -P FORWARD DROPiptables -A FORWARD -s 192....
dhcp服务器分配指定ip,DHCP服务(自动分配IP绑定固定IP)
weixin_30601893的博客
07-29 5865
DHCP协议DHCP(Dynamips Host configuration Protocal)动态主机配置协议是一种基于UDP协议且仅限于在局域网内部使用的网络协议,主要用于大型的局域网环境或者存在较多移动办公设备的局域网环境中,其主要用途是用于自动管理局域网内主机的IP地址、子网掩码、网关地址及DNS地址等参数,可以有效地提升IP地址的利用率,提高配置效率,并降低管理与维护成本。在DHCP的工...
iptables简单实现IPMAC绑定上网
03-06
iptables简单实现IPMAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptalbes绑定mac
kunatnet的专栏
04-09 747
iptables -A FORWARD -m mac --mac-source 00:0A:EB-9A:E0:32 -j ACCEPT
arptables实现ARP报文IPMAC绑定
redwingz的博客
03-13 1327
iptables实现IPMAC绑定对ARP报文无效,以下使用arptables规则控制ARP报文的IPMAC绑定。在主机192.168.1.127上配置以下规则: # arptables -A INPUT -s 192.168.1.201 --source-mac ! 00:0C:29:38:40:6B -j DROP # # arptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) -j DROP -i any -o any -s 19
如何在Linux路由上设置IPMAC绑定
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
10-27 2047
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP地址连出。对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用
如何在Linux路由上设置IPMAC绑定
07-27
在Linux系统中,路由器设置IPMAC绑定是一个常见需求,用以提高网络的安全性,确保只有特定的设备能够接入互联网。以下是对如何在Linux路由上设置IPMAC绑定的详细知识点解析。 首先,要了解ARP协议的基本原理。...
linux中mac地址绑定方法
09-16
MAC地址绑定是一种有效的防御措施,它可以在系统内手动设置特定IP地址对应的MAC地址,从而确保通信只发生在预先定义的设备之间。这不仅可以防止ARP欺骗攻击,还可以提高网络的安全性和稳定性。 #### 三、MAC地址...
iptables限制MACIP绑定上网+Squid 透明代理How to
kepa520的博客
07-23 1115
实现功能: 1.iptables 防火墙 对外只打开指定端口 2.启用NAT带局域网上网功能 3.开启NAT 端口转发将80端口转发到内网机器 3.设定只允许可指定IP的和对应的MAC才可以上网 4.启用透明代理 将用户端的访问Web(80)转发到squid的8080 5.禁止用户在线听歌和看电影(通过游览器方式) 透过在squid中限制文件即可 系统及网络环境 1.系统为Re
Linux2.4iptablesMAC地址匹配绕过漏洞
站长生活
11-09 531
受影响的系统: Linux kernel 2.4 描述: -------------------------------------------------------------------------------- Linux 2.4内核中包含一个新的功能强大的防火墙体系,名叫Netfilter.它的主要组件是 iptables. Iptables重包含了一个扩展模块是MAC模块,它可以基于M
iptables网关配置,指定内网MAC地址主机访问外网
沙洲浪子的专栏
10-30 2231
      刚调到新单位上班,由于单位对上互联网主机有要求,必须经过领导审批的电脑才允许上互联网,而单位上互联网使用的是小型ADSL路 由器,最多能对30个MAC地址进行绑定,所以领导给了我一台老的服务器,要我设置软路由来代替ADSL路由器。拿到服务器,我简单看了一下配置,再到网上搜了一下软路由的相关资料,觉得用LINUX+IPTABLES来设置是最合适不过的了,于是就在服务器上装了CentOS
防火墙 iptables的使用
X2683933654的博客
11-29 552
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙。
安全技术和iptables防火墙
pupcarrot的博客
10-06 136
此时还无法使用,要将添加的自定义链及规则添加到系统链之下让系统能够识别若自定义规则已被系统引用,先删除系统链下的自定义规则,然后删除自定义链下的自定义规则,最后删除自定义链。
iptables转发基础
最新发布
2401_84279169的博客
05-14 928
iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作要使用iptables的NAT功能,我们首先需要启用网卡的IP转发功能如果想要永久生效,我们要编辑文件,设置,然后用sysctl -p命令使配置文件生效。我们使用**-t nat**参数指明使用nat表,因为iptables默认使用filter表。nat表同filter表一样有三条缺省的”链”(chains):POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址。
linux防火墙iptables常用应用功能实现
锅锅的博客
11-08 960
1、mac过滤 白名单 iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j ACCEPT 黑名单 iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j REJECT 测试 iptables - 2、ip过滤 白名单 iptables –A FORWARD –s 192.168.10.0/24 –m layer7 –l7proto qq –j ACCEPT 黑名单 ipta
iptables mac地址过滤
weixin_33901843的博客
11-28 506
开启iptables ehco '1' > /proc/sys/net/ipv4/ip_forward sysctl -p 命令行里两步 首先开启地址转换 iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE 其中$innet 代表内网网段, $EXTIF 代表外部连接...
利用iptables给Docker绑定一个外网IP
时鹏飞的专栏
07-27 8305
背景由于docker默认是不能够与外部进行直接的通信,比较普遍的仿佛是利用启动时-p来与主机进行端口映射与外界沟通。但是有时候在有其他需求时并不太方便,特别是在进行一些docker打包之前的内部开发时,希望其能够像虚机一样能够与外部有很好的通信,便希望其能够绑定外部的IP地址。 docker默认的网络是桥接在创建好后的网桥docker0上的。docker0默认的典型地址为172.17.42.1,子
MAC地址在iptables不管用的问题
Vegile的博客
06-10 2347
需求:对于一台应用服务器,需要过滤访问用户,因为用户的ip重启电脑之火会变,尽管可以将hostname记录在iptables中,用iptables-restore 结果: MAC地址一直不能生效。查看资料因为应用服务器和本人的电脑不在同一个网段。同一个网段内的使用二层交换机,不同网段之间的使用三层交换机。二层交换机工作在数据链路层,三层交换机工作在网络层,三层交换机属于二层交换机与路由器的结
利用iptables实现IP地址与端口筛选策略
使用`iptables -I INPUT -s 172.16.0.201 -j DROP`命令,可以在INPUT链中插入一条规则,指定源IP地址为172.16.0.201的数据包会被丢弃,实现屏蔽效果。如果需要解封,可以使用`iptables -D INPUT -s 172.16.0.201 -j ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值