limitar el acceso a través de la dirección MAC
https://stackoverflow.com/questions/919801
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Soy la creación de una pila WAMP / LAMP en un viejo PC. Este equipo se conecta a una red local con alrededor de una docena de otros PCs. Estoy interesado en limitar el acceso de los ordenadores de todos los demás, por lo que sólo mi pareja y yo pueden acceder a nuestro servidor local. La mejor manera, creo, para hacer esto es para bloquear todos los demás dirección MAC (router asigna IP de forma automática, por lo que no quieren depender de eso). Me gustaría añadir que no tengo acceso a la página de configuración del router, así que esto tendría que hacerse desde el propio servidor.
¿Alguien puede ampliar sobre cómo se hace esto?
Solución
En primer lugar para mirar es el panel de control del router. Por lo general, los routers (por lo menos para la telefonía celular) permite el control de acceso basado en direcciones físicas.
La segunda cosa para ayudarle a es el servidor de seguridad. Busque cortafuegos que limita el acceso por dirección MAC (si está utilizando Linux estoy bastante seguro de que ya tiene esta capacidad, en mi wintel estoy usando Comodo Personal Firewall que me permite filtrar por dirección física.)
Otros consejos
Linux / iptables, el tipo de modo de lista negra, esta caerá todo el tráfico procedente de las direcciones MAC especificadas:
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP
Sin embargo, no estoy muy seguro de si esto es lo que desea, el mac-address en realidad no es un método fiable para filtrar el tráfico. La mayoría de las tarjetas de red modernos permiten cambiar su mac-address, y si la IP en paquetes que encapsula el dispositivo Ethernet-marco ha pasado a través de un router, la fuente-mac-address en la Ethernet-marco va a ser el de la última enrutador que pasa a través y no el equipo de origen.
Yo sugeriría mirar en mod_auth_basic o algo similar, es mucho más tolerante que iptables cuando cometer errores. Y si usted decide seguir el camino de iptables, sugeriría más de un enfoque de lista blanca, donde iptables caen cierto tráfico por defecto y luego permitir que a través de lo que desea.
iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Si no se puede jugar con el router entonces usted tiene que aplicar restricciones en el propio servidor: dependiendo de lo paranoico que desea ser, algunas opciones que vienen a la mente son:
- El más fácil - configurar un host virtual en Apache asignar el nombre a algo único que no se resuelve a través de DNS: sólo tiene que añadir esta entrada a su archivo de hosts local y voila - cualquier persona tiene acceso al servidor a través de IP obtendrá el valor por defecto de acogida Apache (página de bienvenida ).
- Oriente - mod_auth_basic uso para agregar un acceso básico (nombre de usuario + contraseña a través de htpasswd) al servidor web
- Hardest - agregar reglas de iptables para bloquear todo el acceso al puerto 80 a excepción de determinada Mac
