使用iptables基于MAC地址进行访控

最新推荐文章于 2024-12-02 15:52:53 发布
原创 最新推荐文章于 2024-12-02 15:52:53 发布 · 9.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#input #centos #防火墙 #脚本 #服务器 #bash

本文介绍了一台基于CentOS的SVN服务器如何通过iptables进行访问控制,利用MAC地址限制特定设备访问,防火墙配置由bash脚本自动化实现。

近日完成一台基于CentOS的SVN服务器配置,由于该服务器上的文件非常重要,仅部分用户需要访问,最后决定采用iptables来做访控,并且是根据MAC地址来限制,为了便于后期维护,防火墙的配置是通过一个bash脚本来完成的,该脚本内容如下:

#!/bin/bash
iptables=/sbin/iptables
#Flush chains
$iptables –F
#Change the INPUT chains
$iptables -A INPUT -m state --state INVALID -j DROP
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Read allowed mac from file /root/allow_mac
for i in $(grep -v '^#' /root/allow_mac)
do
    $iptables -A INPUT -m mac --mac-source $i -j ACCEPT
done
#Change the INPUT chain's default Policy to DROP
$iptables -P INPUT DROP

   把允许访问的机器的MAC地址放入文件/root/allow_mac中,每个mac独占一行,然后编辑/etc/rc.local文件让系统在启动的时候执行该防火墙脚本即可。
shell之iptables 防火墙
Ggggggggggu的博客
07-12 731
在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢? Linux 系统中的防火墙——netfilter 和 iptables,包括防火墙的结构和匹配流程,以及如何编写防火墙规则。Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具
安全技术和防火墙——iptables防火墙
zhou641694375的博客
08-29 1585
提示:这里可以添加本文要记录的大概内容:提示:以下是本篇文章正文内容,下面案例可供参考位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包iptables --version 查看版本查看命令的帮助(说明书)......
iptables实现IPMAC绑定
redwingz的博客
03-12 1202
主机192.168.1.201的MAC地址如下: $ ip address 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
使用IPtables允许指定mac地址可以访问Linux服务器
shishui07的博客
08-06 4843
使用IPtables允许指定mac地址可以访问Linux服务器实验环境iptables配置方式 实验环境 rhel7.5 虚拟机两台和Windows客户端一个 iptables配置方式 使用iptables可以允许指定ip地址访问本地服务器。也可以配置允许指定mac地址访问本地服务器 本实验中首先配置拒绝所有对本地服务器22端口访问,在terminal执行该命令后服务器会截断所有对22端口的访问,所以terminal会断开,因此请在服务器后台执行该命令,否则会出现连不上服务器的情况,后续命令无法执行。 ip
iptables过滤MAC地址
03-06
iptables过滤MAC地址 ,利用过滤表来mac地址访问策略。
iptablesMAC地址过滤
weixin_30606461的博客
06-30 422
这里(http://en.wikipedia.org/wiki/Mac_address)有关于MAC地址的一些信息。 查询现有设置 iptables -S [chain] 比如:针对1中所设 input 类,要查询则输入 iptables -S INPUT 删除已有设置 iptables -D [chain] [chain-num] 可...
服务器防护】centos iptables 防火墙设置 mac过滤
weixin_34090562的博客
12-16 971
  1、阻止MAC地址为XX:XX:XX:XX:XX:XX主机的所有通信: iptables -A INPUT -s 192.168.1.21 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT [!] --mac-source address Match source MAC address. It must be o...
iptables防火墙(一)
lwforever_lw的博客
08-05 969
iptables 的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
Nmap的详细使用
weixin_46236101的博客
03-17 812
Nmap的详细使用 介绍 常用参数选项 主机发现 端口扫描 服务和版本探测 操作系统探测 性能优化 防火墙/IDS 躲避和哄骗 输出 (一)介绍   Nmap — 网络探测工具和安全/端口扫描器。   Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 主机也没有问题。Nmap 以新颖的方式使用原始 IP 报文来发现网络上有哪些主机,那些 主机提供什么服务(应用程序名和版本)...
Nmap简单使用手册
Zero的博客
11-27 1522
名称:nmap 网络探测工具和安全/端口扫描器 用法:nmap [扫描类型 ...] [选项] {扫描目标说明} 描述:nmap(“Network Mapper(网络映射器)”)是一款开源的网络探测和安全审核的工具。它的设计目标是快速的扫描大型网络,当然用它扫描单个主机也是没问题的。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些主机提供社么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息),它们使用什么类型的报文过滤器/防火墙,以及一堆其他的功能。虽然Nmap通常用于
MAC地址iptables不管用的问题
Vegile的博客
06-10 2524
需求:对于一台应用服务器,需要过滤访问用户,因为用户的ip重启电脑之火会变,尽管可以将hostname记录在iptables中,用iptables-restore 结果: MAC地址一直不能生效。查看资料因为应用服务器和本人的电脑不在同一个网段。同一个网段内的使用二层交换机,不同网段之间的使用三层交换机。二层交换机工作在数据链路层,三层交换机工作在网络层,三层交换机属于二层交换机与路由器的结
iptables
云计算练习生X的博客
12-02 761
防火墙 firewalld:隔离功能入侵检测系统:在互联网访问的过程中,不阻断任何网络访问,也不会定位网络的威胁,提供告警和事后的监督,类似于监。入侵防御系统:透明工作模式,在判定为攻击行为或者是病毒威胁时,主动的隔断。防水墙:防止内部信息泄露的产品,网络,外设接口等等全访问的实现监防火墙的隔离规则:对进出网络或者主机的数据包基于一定的规则进行检查,匹配规则的放行,不匹配的就会隔离在主机之外。防火墙一般位于网络边缘或者是主机边缘。主机防火墙网络防火墙
基于MAC地址的安全配置与管理
热门推荐
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
04-17 1万+
MAC地址是网络设备中不变的物理地址,所以基于MAC地址的接入制就成了最直接,甚至可能是大多数情况下最有效的制手段。在二层交换网络中,是通过依靠保存在交换机中的MAC地址表来进行寻址的,这时如果制交换机中存储的MAC地址表就可以制一些非法设备的接入,让其他设备不能与他进行通信。在华为S系列交换机中,为了实现这个目的提供了多种基于MAC地址的安全手段,如限制接口学习MAC地址表项的数量,限制...
iptables深度总结--基础篇_iptables input output forward(3)
2401_84166458的博客
04-09 1090
multiport扩展 以离散方式定义多端口匹配,最多指定15个端口–source-ports,–sports port[,port|,port:port]… 指定多个源端口–destination-ports,–dports port[,port|,port:port]… 指定多个目标端口–ports port[,port|,port:port]…多个源或目标端口。
centos iptables 日常使用
liuhaoy的博客
12-23 544
iptables 日常使用 一、iptables 简介 一旦匹配,就不再二次处理,直接执行动作。所以需要注意iptables 写的顺序 六个链 input:目的地址是本地的数据包 output:离开本地的数据包 forward:本地路由转发的数据包 prerouting:处理刚刚到达的数据包(路由前) postrouting:处理离开的数据包(路由后) 自定义链:产生分类子链 5个表 filte...
nginx环境安装配置 --MAC
Charlotte1018的博客
02-01 625
1.安装nginx // 搜索软件 brew search nginx // 安装软件 brew install nginx // 查询软件信息 brew info nginx 2.配置nginx // 文件所在地址 cd /usr/local/etc/nginx // 查看配置文件 cat nginx.conf #user nobody; worker_processes 1;...
使用Nginx限制客户地址请求访
牧羊人
05-20 1499
现状说明: 目前应用需要限制个别IP访问平台的网站,网站使用的是Nginx,现在的具体要求如下: 1.Nginx的所有站点都不允许x.x.x.x地址访问; 2.针对某一个站点www.xxx.com限制xx.xx.xx.xx地址访问; 3.针对某一个站点www.xxx.com的某个路径限制x.xx.xx.xx地址访问 分析说明 1.针对所有站点都不允许访问的话,需要做全局设置,配置在主配置文件中;...
iptables 限制MAC或IP地址流量
vapor2的博客
06-02 4522
1、阻止MAC地址为XX:XX:XX:XX:XX:XX主机的所有通信:     iptables-A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP 2、允许MAC地址为XX:XX:XX:XX:XX:XX主机访问22端口:     iptables -AINPUT -p tcp --destination-port 22 -m
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 4208
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
如何在 OpenWrt 中通过 iptables 实现基于 MAC 地址访制?
最新发布
06-27
### 配置基于 MAC 地址访制 在 OpenWrt 系统中,可以通过 `iptables` 和 `ipset` 的结合使用来实现基于 MAC 地址的网络访制。该方法允许根据设备的 MAC 地址限制其对特定目标(如 IP 地址或域名)的访问权限。 #### 创建自定义规则链 为了更好地组织和管理规则,可以创建两个新的规则链,例如 `AUTH_POLICY` 和 `FLOW_POLICY`: ```bash iptables -N AUTH_POLICY iptables -N FLOW_POLICY ``` 随后将这些自定义链挂接到主链上,比如 FORWARD 链: ```bash iptables -I FORWARD -j AUTH_POLICY ``` 这种方式适用于需要对局域网设备进行精细访制的场景,例如限制未认证 MAC 地址的上网权限[^1]。 #### 实现 MAC 地址过滤 对于未通过认证的 MAC 地址,可以通过以下命令禁止其访问互联网: ```bash iptables -I AUTH_POLICY -i br-lan -m set ! --match-set auth_pass_mac src -j DROP ``` 上述规则表示:对于从 `br-lan` 接口进入的数据包,如果源 MAC 地址不在 `auth_pass_mac` 的 ipset 列表中,则丢弃该数据包[^1]。 同时,也可以设置黑名单机制,阻止某些特定 MAC 地址访问特定的目标地址: ```bash iptables -A AUTH_POLICY -i br-lan -m set --match-set direct_blacklist_mac src -j FLOW_POLICY iptables -A FLOW_POLICY -i br-lan -m set --match-set direct_ip dst -j DROP ``` 以上规则表示:对于源 MAC 地址在 `direct_blacklist_mac` 列表中的设备,如果目标地址属于 `direct_ip` 列表,则丢弃该数据包[^1]。 #### 持久化保存规则 默认情况下,通过命令行添加的 iptables 规则在系统重启后会丢失。为了确保规则持久生效,可以将规则写入 `/etc/firewall.user` 文件中,或者使用 `iptables-save` 和 `iptables-restore` 工具进行备份与恢复: ```bash iptables-save > /etc/iptables.rules ``` 然后在系统启动时自动加载: ```bash iptables-restore < /etc/iptables.rules ``` 此方法可确保规则在每次重启后仍然有效[^3]。 #### 基于时间的访制 如果需要根据时间限制某些设备的网络访问,例如限制某个 MAC 地址在特定时间段内不能上网,可以使用如下命令: ```bash nohup sleep 60 && iptables -I FORWARD -m mac --mac-source 00:EA:88:00:44:4B -m time --timestart 02:00 --timestop 12:00 --kerneltz -j DROP && iptables -I FORWARD -m mac --mac-source 00:EA:88:00:44:4B -m time --timestart 13:00 --timestop 21:30 --kerneltz -j DROP & ``` 上述命令会在系统启动后延迟执行,并设置规则以阻止指定 MAC 地址在上午和下午的时间段内访问网络[^3]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值