Tham gia Đăng nhập
Điểm:1
Adrian Cornish avatar Server

Cách chặn máy chủ nội bộ khỏi internet bằng tường lửa theo địa chỉ MAC

lá cờ ph
Adrian Cornish

Tôi đang cố ngăn một số máy chủ trên mạng ra ngoài/gọi về nhà.

Vì vậy, tôi có 2 khu vực.

[root@eagle ~]# tường lửa-cmd --get-active-zones 
bên ngoài
  giao diện: enp2s0
nội bộ
  giao diện: eno1

Với giả trang trên cho bên ngoài

[root@eagle ~]# tường lửa-cmd --zone=internal --query-masquerade
không
[root@eagle ~]# tường lửa-cmd --zone=external --query-masquerade
Vâng

Và tôi có một quy tắc phong phú để thả dữ liệu cho địa chỉ MAC mà tôi muốn

[root@eagle ~]# tường lửa-cmd --zone=external --list-rich-rules 
nguồn quy tắc mac="40:16:3B:63:72:E0" drop

Nhưng nó dường như không hoạt động. Những điều rõ ràng mà tôi đã kiểm tra là thêm chúng dưới dạng vĩnh viễn và đảm bảo rằng tôi đã tải lại các quy tắc.

Bất kỳ trợ giúp đánh giá cao

102
0 + 0
djdomi avatar
lá cờ za
djdomi
Tôi tin rằng đó có thể là một câu hỏi hay, nhưng bạn có nghĩ rằng bạn nên thêm một số thông tin về loại tường lửa bạn đang sử dụng không? â Cũng giống như Ví dụ, bạn đang nói với Tôi đang lái một chiếc Ô tô sẽ không ai biết bạn đang lái chiếc xe nào (Hay đó là một bí mật?) :-)
1
Hồi đáp
Adrian Cornish avatar
lá cờ ph
Adrian Cornish
Nếu bạn có nghĩa là phụ trợ cho tường lửa nftables của nó.
0
Hồi đáp
Điểm:1
avatar Server
lá cờ us
Tero Kilkanen

Bạn đang thêm quy tắc MAC vào vùng bên ngoài, đó là enp2s0. Các khung ethernet được gửi qua giao diện đó có địa chỉ MAC là enp2s0 làm địa chỉ MAC nguồn của chúng.

Nếu bạn muốn khớp các thiết bị trong mạng nội bộ, bạn cần thêm các quy tắc khớp MAC trong nội bộ khu vực đang sử dụng giao diện eno1và xem địa chỉ MAC của máy khách là địa chỉ MAC nguồn khi nó nhận khung từ máy khách.

Điều này có nghĩa là bạn cũng cần thêm địa chỉ IP đích phù hợp với quy tắc.

0 + 0
Adrian Cornish avatar
lá cờ ph
Adrian Cornish
Nếu tôi thêm nó vào vùng nội bộ, thì điều đó không có nghĩa là nó cũng không thể giao tiếp với bất kỳ thứ gì khác trong mạng LAN. Có tương đương với iptables POSTROUTING trong nftables để thêm quy tắc ở đó không?
0
Hồi đáp
lá cờ us
Tero Kilkanen
Lưu lượng truy cập bên LAN được bật trên L2, nó không đi qua IPTables. Nếu bạn chạy một cầu trên hộp nối các giao diện bên LAN khác nhau, cầu vẫn được gán cho vùng nội bộ, vì vậy lưu lượng vẫn chảy.
1
Hồi đáp
Adrian Cornish avatar
lá cờ ph
Adrian Cornish
Cảm ơn bạn đã giúp đỡ. Tôi đã chuyển quy tắc MAC sang nội bộ - nhưng tôi không rõ ý của bạn về ip đích là gì - tôi muốn chặn tất cả các hoạt động gửi đi. Tôi đã cắt mọi kết nối với `conntrack` nhưng 40:16 vẫn thoát. `15:27:20.930195 40:16:3b:63:72:e0 > 64:00:6a:57:f8:1f, ethertype IPv4 (0x0800), độ dài 1514: 192.168.124.61.46524 > 52.20.197.208.443 : Flags [.], seq 543929265:543930713, ack 3518997520, win 331, tùy chọn [nop,nop,TS val 36061421 ecr 1532501099], độ dài 1448`
0
Hồi đáp
lá cờ us
Tero Kilkanen
Các gói được hiển thị trên giao diện bên trong mà bạn đã sử dụng khi chạy TCPDump. Các gói không được hiển thị trên giao diện gửi đi.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.