Grenze Zugang durch MAC-Adresse

StackOverflow https://stackoverflow.com/questions/919801

  •  06-09-2019
  •  | 
  •  

Frage

Ich habe die Einrichtung einen WAMP / LAMP-Stack auf einem alten PC auf. Dieser Computer wird mit etwa einem Dutzend anderen PC an ein lokales Netzwerk angeschlossen werden. Ich habe Interesse an von der alle anderen Computern den Zugriff zu beschränken, so dass nur mein Partner und ich kann unseren lokalen Server zugreifen. Der beste Weg, denke ich, dies zu tun, ist jeder zu blockieren, sonst die MAC-Adresse (Router ordnet IP-Adressen automatisch, so will ich nicht auf, dass abhängig sein). Ich mag hinzufügen, dass ich keinen Zugriff auf die Konfigurationsseite des Routers, so würde dies vom Server selbst durchgeführt werden muß.

Kann jemand erweitern, wie dies geschehen ist?

War es hilfreich?

Lösung

Der erste Platz zu sehen ist der Router über das Bedienfeld. Normalerweise Router (zumindest für wireless) ermöglichen Zugriffskontrolle basierend auf physikalischen Adressen.

Die zweite Sache, Ihnen zu helfen ist der Firewall. Geben Sie für Firewall, die den Zugriff von MAC-Adresse begrenzt (wenn Sie Linux verwenden ich ziemlich sicher bin, es bereits diese Fähigkeit hat, auf meine wintel Ich verwende Comodo Personal Firewall, die mich durch physikalische Adresse filtern können.)

Andere Tipps

linux / iptables, die Art-of schwarze Liste Art und Weise, dies den gesamten Verkehr von den angegebenen MAC-Adressen stammen fallen wird: 

iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP

Aber ich bin nicht wirklich sicher, ob dies ist, was Sie wollen, ist die Mac-Adresse nicht wirklich eine zuverlässige Methode, um Ihren Traffic zu filtern. Die meisten modernen NICs können Sie Ihre Mac-Adresse ändern, und wenn das IP-Paket, das die Ethernet-Frame hat über einen Router geleitet kapselt, die Quelle-mac-Adresse auf dem Ethernet-Rahmen wird das eine der letzten sein Router es durch und nicht den ursprünglichen Computer übergeben.

Ich würde vorschlagen, in der Suche mod_auth_basic oder etwas ähnlich, es ist viel toleranter als iptables, wenn Fehler zu machen. Und wenn Sie die iptables Weg zu gehen entscheiden, würde ich eher ein Whitelist-Ansatz vorschlagen, wo iptables bestimmten Datenverkehr standardmäßig fallen und lassen durch das, was Sie wollen. 

iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Wenn Sie nicht mit dem Router Geige können, dann müssen Sie Einschränkungen auf dem Server implementieren selbst: Je nachdem, wie paranoid Sie sein wollen, ein paar Optionen, die in den Sinn kommen, sind:

  • Einfachste - Setup ein Virtualhost in Apache die Hostnamen auf etwas einstellen einzigartig, die nicht über DNS nicht aufgelöst wird: einfach diesen Eintrag zu Ihrer lokalen Host-Datei hinzufügen und voila - jemand den Server via IP erhält die Standard-Apache-Host (Willkommens-Seite zugreifen ).
  • Mitte - Verwendung mod_auth_basic hinzuzufügen einfach (Benutzername + Passwort über htpasswd) Zugriff auf den Webserver
  • Hardest - iptables-Regeln hinzufügen alle Zugriff auf Port Block 80 mit Ausnahme von bestimmten Mac
Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top