limitare l'accesso mediante indirizzo MAC
https://stackoverflow.com/questions/919801
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono la creazione di uno stack di WAMP / LAMP su un vecchio PC. Questo computer sarà collegato a una rete locale con circa una dozzina di altri PC. Sono interessato a limitare l'accesso dai computer di tutti gli altri, in modo che solo il mio compagno e io può accedere al nostro server locale. Il modo migliore, credo, per fare questo è quello di bloccare tutti gli altri indirizzi MAC (router assegna IP automaticamente, quindi non voglio essere dipendente da quella). Vorrei aggiungere che io non ho accesso alla pagina di configurazione del router, quindi questo dovrebbe essere fatto dal server stesso.
Qualcuno può espandere su come questo viene fatto?
Soluzione
Il primo posto da guardare è pannello di controllo del router. Di solito router (almeno per wireless) consentono un controllo di accesso basato su indirizzi fisici.
Seconda cosa per aiutarvi a è il firewall. Cercare firewall che limita l'accesso in base all'indirizzo MAC (se si utilizza linux Sono praticamente sicuro che ha già questa capacità, sul mio Wintel sto usando Comodo Personal Firewall che mi permette di filtrare per indirizzo fisico.)
Altri suggerimenti
Linux / iptables, il tipo di strada-blacklist, questo cadrà tutto il traffico proveniente dagli indirizzi MAC specificati:
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP
Comunque, io non sono davvero sicuro se questo è ciò che si vuole, il mac-address non è in realtà un metodo affidabile di filtrare il traffico. La maggior parte delle schede di rete moderne consentono di cambiare il vostro mac-address, e se l'ip-pacchetto che l'ethernet-frame incapsula è passata attraverso un router, la sorgente-mac-address sul ethernet-frame sta per essere uno degli ultimi router è passato attraverso e non il computer di origine.
Vorrei suggerire esaminando mod_auth_basic o qualcosa di simile, è molto più indulgenti che iptables quando commettere errori. E se si decide di imboccare la strada iptables, vorrei suggerire più di un approccio whitelist in cui iptables cadono certo traffico di default e quindi consentire attraverso ciò che si desidera.
iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Se non si può giocherellare con il router allora dovete applicare restrizioni sul server stesso: a seconda di come paranoico si vuole essere, alcune opzioni che vengono in mente sono:
- più semplice - l'installazione di un VirtualHost in Apache impostare l'hostname a qualcosa di unico che non si risolve tramite DNS: è sufficiente aggiungere questa voce al vostro file hosts locale e voilà - chiunque l'accesso al server tramite IP otterrà l'host di default di Apache (pagina di benvenuto ).
- Medio - uso mod_auth_basic per aggiungere l'accesso di base (nome utente + password via htpasswd) al server web
- Hardest - aggiungere regole di iptables per bloccare tutti gli accessi alla porta 80 se non da dato di Mac
