iptables网关配置,指定内网MAC地址主机访问外网

最新推荐文章于 2024-06-17 16:09:29 发布
最新推荐文章于 2024-06-17 16:09:29 发布
阅读量2.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: tcp input 互联网 服务器 centos linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liusongxn/article/details/4746431
博主首次接触LINUX系统,使用CentOS4.4配合IPTABLES完成软路由设置,实现特定MAC地址的互联网访问权限。分享了配置过程及关键代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      刚调到新单位上班,由于单位对上互联网主机有要求,必须经过领导审批的电脑才允许上互联网,而单位上互联网使用的是小型ADSL路 由器,最多能对30个MAC地址进行绑定,所以领导给了我一台老的服务器,要我设置软路由来代替ADSL路由器。拿到服务器,我简单看了一下配置,再到网上搜了一下软路由的相关资料,觉得用LINUX+IPTABLES来设置是最合适不过的了,于是就在服务器上装了CentOS 4.4(当时手头只有4.4的盘,告诉大家,其实这是我第一次使用LINUX操作系统),装完后开始配置IPTABLES,可是怎么设置都不能实现只让指定MAC地址的电脑上网,在网上找了很多资料都不行。刚调过来,不能让领导失望,于是我在机房里边找资料边调试,在经过了一天半的努力,终于配置成功了(不过我至今对IPTALBLES还不是很熟悉,不过配置成功了还是比较HAPPY的)!现在把配置的几处关键贴出来,一是自己作个总结,二是可以给和我一样要求的朋友一些参考,高手请别笑我菜鸟(才开始学习,希望鼓励!)。

 

修改/etc/sysconfig/iptables文件代码如下(参考网络中的资料进行的):

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i eth0 -j ACCEPT                  #内网网卡
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT           #内网网卡
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE #传发规则
-P PREROUTING DROP
#--------------------------MAC地址过滤,仅允许下列MAC上网------------------
#将允许的MAC添加到下面,每个MAC一行
-A PREROUTING -m mac --mac-source 00:24:21:B4:33:A7 -j ACCEPT

由于第一次使用LINUX,对IPTABLES还不怎么了解,故不知实现功能是否还有更简单可靠的方法,更不知以上方法代码在安全方面是否有不足,望高手指点。

Linux(28) Linux网卡配置为连接到Linux主机的PC提供外网访问
我其实什么都不会
08-28 1679
在本文中,我将探讨如何为连接到Linux主机的设备提供网络访问。将使用一个实际的故障排查案例来详细说明这个过程,最终实现用脚本完成各项检查和配置工作。
Android 双网卡配置为连接到Android主机的PC提供外网访问(1)
我其实什么都不会
08-29 2241
在本文中,我将探讨如何为连接到Android主机的设备提供网络访问。将使用一个实际的故障排查案例来详细说明这个过程,最终实现用脚本完成各项检查和配置工作。
iptables简单实现IP与MAC绑定上网
03-06
iptables简单实现IP与MAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 4104
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
OpenWRT使用iptables设置只允许MAC地址对应设备访问局域网
热门推荐
不会飞的猪的博客
12-01 1万+
OpenWRT只允许设备访问局域网原理分析 要想设备只能访问局域网,有两个方案 1.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为公网地址的设备若匹配则拒绝 2.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为局域网地址的设备若匹配接受,在此规则下面添加MAC地址所有包都丢弃 由于公网IP段不明确,因此我们这里采取第二种方
iptables设置网关_如何在Linux上使用iptables和路由设置网关
cuma2369的博客
07-23 1666
iptables设置网关Sharing the networking is important and setting up a gateway is a good solution to it. Building up the gateway on a Linux box is easy, cost efficient and reliable. With a Linux box, you ca...
iptables限制源IP和MAC地址
weixin_34342992的博客
09-23 806
vi /etc/sysconfig/iptables-A INPUT -s x.x.x.x -p tcp --dport 8080 -m mac --mac-source 11:22:33:44:55:66 -j ACCEPT 转载于:https://blog.51cto.com/hj192837/1557267
Linux主机防火墙构建iptables的使用
weixin_43834422的博客
09-14 1202
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
iptables 防火墙 二 SNAT与DNAT
2401_83786744的博客
05-22 1104
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1200
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
iptables 实例杂锦(端口封闭或转发,ip,mac)
不用此栏
04-05 3858
#/sbin/modprobe iptable_filter#/sbin/modprobe ip_tables#/sbin/modprobe iptable_nat#/sbin/iptables -F -t natadsl拨号的转发/sbin/iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o ppp0 -j MASQUERADE 网卡转发/sbi
iptable使用
qq_41619571的博客
02-11 858
一、基本信息 1、iptables表、链结构 2、指令的组成 iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作] 3、基本目标操作 关键字 含义 ACCEPT 允许通过/放行 DROP 直接丢弃,不给出任何回应 REJECT 拒绝通过,必要时会给出提示 LOG 记录日志,传给下一条规则 (匹配即停止,规律的唯一例外) 4、常用管理选项 二、案例 1、限制来源IP [root@QQ ~]# ip..
iptables实现IPMAC绑定
redwingz的博客
03-12 1087
主机192.168.1.201的MAC地址如下: $ ip address 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
linux下利用iptables配置路由器
whatday的专栏
12-14 9175
这个任务其实是前段时间《网络安全》课程的一个小实验。实验的要求是在virtualbox中运行两台虚拟机,一台linux机器用作路由器(该机器配置两个网卡,一个连接到外网,一个连接到内网),一台windows机器连接到内网,通过linux的路由器功能上网。 首先配置下实验环境。实验中真机为win7系统,DNS是202.38.64.56,虚拟机为32位Ubuntu(1404)主机一台。32位wi
网关屏蔽mac地址,linux下修改mac地址方法
miaozk2006的专栏
03-01 556
局域网里有一台机器,同一网段内的机器,只有部分能够ping通,也无法ping通网关,现象很奇怪,尝试过修改IP,重启网络服务,都无法解决问题。 最后怀疑是不是网关将该机器mac地址给屏蔽掉了,因此修改机器的mac地址linux下修改mac地址方法如下: ifconfig eth0 down ifconfig eth0 hw ether 00:1A:A0:38:E0:31 ifconf...
Linux2.4iptablesMAC地址匹配绕过漏洞
站长生活
11-09 563
受影响的系统: Linux kernel 2.4 描述: -------------------------------------------------------------------------------- Linux 2.4内核中包含一个新的功能强大的防火墙体系,名叫Netfilter.它的主要组件是 iptables. Iptables重包含了一个扩展模块是MAC模块,它可以基于M
iptables学习笔记
qq_34645863的博客
03-14 1939
iptables,过滤,NAT
iptables防火墙
小小byg
04-06 820
Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成• 主要工作在网络层,针对IP数据包。
tcpdump使用
Zerore的博客
11-01 370
tcpdump命令行的使用 核心参数 命令的基本形式: tcpdump option proto dir type tcpdump option proto dir type -aAbdDefhHIJGLnNK… tcp, udp, icmp ip, ip6 arp, rarp ether, wlan src dst , src or dst host net port portrange option可选参数 proto类过滤器: 根据协议进行过滤,可识别的关键字有: tcp,
iptables指定mac地址封锁某主机访问本机
最新发布
06-12
<think>我们有一个明确的需求:使用iptables基于MAC地址阻止特定主机访问本机。根据引用的内容,我们知道可以通过iptables的-mmac模块来匹配MAC地址,然后使用-jDROP来丢弃数据包。步骤:1.添加规则阻止特定MAC地址的流量。2.注意:由于MAC地址只在局域网内有效,所以该规则通常应用在INPUT链(针对进入本机的数据包)或FORWARD链(如果本机作为路由器)上。这里用户要求“访问本机”,所以是INPUT链。3.规则示例:iptables-AINPUT-mmac--mac-source00:11:22:33:44:55-jDROP解释:-AINPUT表示在INPUT链末尾追加规则;-mmac表示使用mac模块;--mac-source指定要匹配的源MAC地址;-jDROP表示丢弃匹配的数据包。4.但是要注意,在添加这条规则之前,我们需要确保默认策略或其他规则不会允许MAC地址访问。通常,我们会将INPUT链的默认策略设置为DROP或REJECT,但这样可能会影响其他所有连接。因此,更安全的做法是在允许其他正常通信的基础上,单独禁止某个MAC地址。5.另外,根据引用[1]和引用[4],我们可以通过脚本批量添加,也可以将规则保存以便开机启动。6.引用[3]中提到了保存规则的方法:可以使用`serviceiptablessave`或者`iptables-save>/etc/sysconfig/iptables`(根据发行版不同路径可能不同)。7.注意:在测试规则之前,确保有另外的方式访问服务器(例如通过控制台),以免把自己锁在外面。因此,给出以下步骤:步骤1:使用如下命令添加基于MAC地址的过滤规则(以MAC地址00:11:22:33:44:55为例):sudoiptables-AINPUT-mmac--mac-source00:11:22:33:44:55-jDROP步骤2:如果需要同时允许其他MAC地址访问,我们可以先设置默认策略为允许,然后添加拒绝规则。但是更常见的做法是只拒绝特定的,而允许其他。注意,如果INPUT链默认策略是ACCEPT,那么添加这条规则后,该特定MAC地址的数据包会被丢弃,而其他的继续被接受。步骤3:如果INPUT链默认策略是DROP,那么我们需要在拒绝特定MAC地址之前允许其他MAC地址(或者按照需求允许某些MAC地址)。但是用户需求只是阻止特定主机,所以我们假设默认策略是ACCEPT,因此只需要添加DROP规则即可。步骤4:保存规则(确保重启后仍然有效):sudoserviceiptablessave#在CentOS6及之前,或者使用systemctl的系统中可能有不同命令或者sudoiptables-save>/etc/sysconfig/iptables#根据系统配置,可能保存到其他路径在Ubuntu等系统中,可能需要安装iptables-persistent包,然后使用netfilter-persistentsave。步骤5:如果以后需要解封,可以通过删除这条规则来实现:sudoiptables-LINPUT--line-numbers#查看规则,找到对应的行号sudoiptables-DINPUT[行号]或者直接使用命令删除(注意:如果规则很多,可能删除会比较麻烦):sudoiptables-DINPUT-mmac--mac-source00:11:22:33:44:55-jDROP注意:在引用[3]中提到了解封IP地址的方法,但是MAC地址同理。注意事项:-由于MAC地址可以被伪造,所以这种过滤方式并不是绝对安全。-在无线网络等环境中,MAC地址过滤可以用来控制接入设备,但同样存在被欺骗的风险。根据引用,我们还可以编写脚本批量添加,如引用[1]所示,从文件读取MAC地址并逐一添加规则。因此,我们可以给出如下示例脚本(用于批量阻止多个MAC地址):```bash#!/bin/bash#批量阻止MAC地址访问本机#文件名:block_mac.sh#用法:将需要阻止的MAC地址每行一个放入文件(如blocked_macs.txt),然后运行此脚本whileread-rmac;do#跳过空行和注释行(以#开头的行)[[-z$mac||$mac=~^#]]&&continue#添加规则到INPUT链,丢弃来自该MAC地址的数据包iptables-AINPUT-mmac--mac-source"$mac"-jDROPdone< blocked_macs.txt#保存规则(根据系统选择合适的方式)#例如在CentOS中:serviceiptablessave#或者在Ubuntu中使用iptables-persistent(需要提前安装):#netfilter-persistentsave```提醒:在使用脚本前,确保已经测试过单条命令,并且脚本中的保存规则命令适用于你的系统。最后,我们还可以参考引用[5]中关于隐含匹配条件的使用,这里我们使用的就是mac模块的匹配。因此,总结回答如下:</think> ### 如何使用iptables基于MAC地址阻止特定主机访问本机 #### 操作步骤 1. **添加MAC过滤规则** 使用`-m mac`模块匹配源MAC地址,通过`-j DROP`丢弃数据包: ```bash iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP ``` - `-A INPUT`: 将规则添加到`INPUT`链(处理进入本机的数据包) - `--mac-source`: 指定要过滤的MAC地址(替换为实际值) - `-j DROP`: 丢弃符合条件的数据包[^1] 2. **设置默认策略**(可选) 如果需拒绝所有其他MAC地址访问: ```bash iptables -P INPUT DROP # 将INPUT链默认策略设为DROP ``` > ⚠️ 谨慎操作:确保先添加允许管理接口(如SSH)的规则,避免锁定服务器[^1] 3. **保存规则**(持久化配置) 防止重启后规则丢失: ```bash service iptables save # CentOS/RHEL # 或 iptables-save > /etc/sysconfig/iptables ``` 其他系统可使用: ```bash netfilter-persistent save # Debian/Ubuntu[^3][^4] ``` 4. **验证规则** 查看生效的规则: ```bash iptables -L -v --line-numbers ``` 输出应包含类似条目: ``` Chain INPUT (policy DROP) num pkts target prot opt source destination 1 0 DROP all -- anywhere anywhere MAC 00:11:22:33:44:55 ``` #### 关键注意事项 1. **MAC过滤的局限性** - 仅对**同一局域网**生效(MAC地址在路由过程中会被替换) - MAC地址易被伪造,不可作为唯一安全措施[^1] 2. **特殊场景处理** - **允许特定服务**:在DROP规则前添加放行规则(如SSH) ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` - **解封方法**: ```bash iptables -D INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP ``` 3. **脚本自动化** 批量过滤MAC地址(创建`blocked_macs.txt`文件): ```bash #!/bin/bash while read mac; do iptables -A INPUT -m mac --mac-source "$mac" -j DROP done < blocked_macs.txt iptables -P INPUT DROP service iptables save ``` > 📌 最佳实践:**结合IP和MAC过滤**(如`iptables -A INPUT -s 192.168.1.10 -m mac --mac-source 00:11:22:33:44:55 -j DROP`)可提升安全性[^3][^5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值