limitar o acesso através do endereço MAC
https://stackoverflow.com/questions/919801
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu sou a criação de uma pilha WAMP / LAMP em um PC antigo. Este computador será conectado a uma rede local com cerca de uma dúzia PC outro. Estou interessado em limitar o acesso de todos os outros computadores, de modo que apenas o meu parceiro e eu posso acessar nosso servidor local. A melhor maneira, eu acho que, para fazer isso é para bloquear o endereço MAC de todos os outros (router atribui IP da automaticamente, então eu não quero ser dependente desse). Eu gostaria de acrescentar que eu não tenho acesso a página de configuração do roteador, então isso teria que ser feito a partir do próprio servidor.
Alguém pode expandir sobre como isso é feito?
Solução
O primeiro lugar a olhar é o painel de controle do seu roteador. Normalmente roteadores (pelo menos para wireless) permitem o controle de acesso baseado em endereços físicos.
A segunda coisa para ajudá-lo é o firewall. Procure firewall que limita o acesso por endereço MAC (se você estiver usando linux Estou praticamente certo que já tem essa capacidade, no meu Wintel Estou usando Comodo Personal Firewall, que me permite filtrar por endereço físico.)
Outras dicas
Linux / iptables, a espécie de caminho lista negra, isto vai cair todo o tráfego proveniente dos endereços MAC especificados:
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP
No entanto, eu realmente não estou certo se é isso que você quer, o mac-address não é realmente um método confiável de filtrar o seu tráfego. A maioria das placas de rede modernos permitem que você altere o seu mac-address, e se o ip de pacotes que os encapsula ethernet-quadro passou através de um roteador, a fonte-mac-address no ethernet-frame vai ser o um dos últimos router que atravessava e não o computador de origem.
Eu sugeriria olhar para similiar mod_auth_basic ou algo assim, é muito mais indulgente do que iptables quando cometer erros. E se você decidir ir para baixo o iptables rota, gostaria de sugerir mais de uma abordagem whitelisting onde iptables cair determinado tráfego por padrão e, em seguida, permitir que através do que você quer.
iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Se você não pode mexer com o roteador, em seguida, você tem que implementar restrições no próprio servidor: dependendo de como você paranóico quer ser, algumas opções que vêm à mente são:
- mais fácil - configurar um VirtualHost no Apache definindo o hostname para algo único que não se resolve através de DNS: basta adicionar esta entrada ao seu arquivo hosts e voila locais - (página de boas vindas qualquer pessoa que acessar o servidor via IP terá o host padrão do Apache ).
- Middle - uso mod_auth_basic para adicionar básica (nome de usuário + senha por htpasswd) o acesso ao servidor
- Hardest - regras de iptables add para bloquear todo o acesso à porta 80 com exceção de determinado mac
