الحد من الوصول عبر عنوان MAC
https://stackoverflow.com/questions/919801
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا أقوم بإعداد مكدس WAMP / LAMP على جهاز كمبيوتر قديم. سيتم توصيل هذا الكمبيوتر بشبكة محلية مع حوالي عشرات الكمبيوتر الأخرى. أنا مهتم بالحد من الوصول من أجهزة الكمبيوتر الخاصة بالجميع، بحيث فقط شريكي ويمكنني الوصول إلى الخادم المحلي. أفضل طريقة، وأعتقد، للقيام بذلك من خلال حظر عنوان MAC الخاص بالجميع (جهاز التوجيه تعيين IP تلقائيا، لذلك لا أريد أن أكون معتمدا على ذلك). أود أن أضيف أنه ليس لدي حق الوصول إلى صفحة تكوين جهاز التوجيه، لذلك يجب القيام بذلك من الخادم نفسه.
هل يمكن لأي شخص أن يتوسع حول كيفية القيام بذلك؟
المحلول
أول مكان لإلقاء نظرة عليه هو لوحة التحكم في جهاز التوجيه الخاص بك. عادة ما تسمح أجهزة التوجيه (على الأقل لاسلكية) بتحكم الوصول بناء على العناوين الفعلية.
الشيء الثاني لمساعدتك هو جدار الحماية. ابحث عن جدار الحماية الذي يحد من الوصول بواسطة عنوان MAC (إذا كنت تستخدم Linux، فأنا متأكد من ذلك بالفعل من خلال هذه الإمكانية، على صعدتي، أنا أستخدم جدار حماية شخصي Comodo الذي يسمح لي بالتصفية حسب العنوان الفعلي.)
نصائح أخرى
Linux / iptables، طريقة الشرائمة السوداء، سيسقط كل حركة المرور الناشئة عن عناوين MAC المحددة:
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP
ومع ذلك، أنا لست متأكدا حقا إذا كان هذا هو ما تريد، فإن عنوان MAC ليس حقا طريقة موثوقة لتصفية حركة المرور الخاصة بك. تتيح لك معظم الشركات الوطنية الحديثة تغيير عنوان MAC الخاص بك، وإذا تم تمرير حزمة IP التي تم تمريرها إطار إيثرنت عبر جهاز توجيه، فإن عنوان المصدر-MAC على الإطار الإيثرنت سيكون هو أحد الأخير جهاز التوجيه الذي مرره وليس الكمبيوتر الأصلي.
أود أن أقترح النظر إلى MOD_AUTH_BASIC أو أي شيء مماثل، فهو أكبر بكثير من iptables عند ارتكاب الأخطاء. وإذا كنت تقرر النزول في طريق Iptables، أود أن أقترح المزيد من نهج الإبطين حيث تقوم IPTables بإسقاط حركة مرور معينة بشكل افتراضي ثم السماح بعمل ما تريد.
iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
إذا لم تتمكن من الكمان مع جهاز التوجيه، فعليك تنفيذ القيود المفروضة على الخادم نفسه: اعتمادا على كيفية وجود بجنون العظمة، هناك بعض الخيارات التي يجب أن تعود إلى مانع:
- أسهل - إعداد Virtualhost في Apache إعداد اسم المضيف إلى شيء فريد من نوعه لا يحل عبر DNS: ما عليك سوى إضافة هذا الإدخال إلى ملف المضيفين المحلي الخاص بك وفويلا - أي شخص يصل إلى خادم IP سيحصل على مضيف Apache الافتراضي (صفحة ترحيب).
- Mod_Auth_Basic لاستخدام MOD_AUTH_BASIC لإضافة Basic (اسم المستخدم + كلمة مرور عبر HTPassWD) الوصول إلى خادم الويب
- أصعب - إضافة قواعد iPtables لحظر جميع الوصول إلى المنفذ 80 إلا من معين Mac
