packet filter auf mac-Adressen

[mathias]

Hi all,

Ich hab in einem Netz Ärger mit einem Gerät, daher wollte ich es zuerst komplet hart sperren anhand der MAC-Adresse (IP-Adresse geht nicht, es kommen bescheuerte / kaputte DHCP-Anfragen, welche den Intranator verwirren). Auf der Kommandozeile hilft ein

Code:

iptables -I INPUT -m mac --mac-source 00:13:f7:68:5a:9b -j DROP

damit steht diese DROP-Regel an allererster Stelle und hilft mir schonmal ein bisschen. Allerdings ist dies natürlich nicht reboot-sicher, daher wollte ich eine vergleichbare Regel irgendwo unter Netzwerk-> Firewall konfigurieren, hab aber keinerlei Möglichkeit gefunden, überhaupt Firewallregeln mit MAC-Adressen einzutragen.

Geht das grundsätzlich nicht, oder hab ichs nur nicht gefunden?

Viele Grüße,

Mathias

[Gerd von Egidy]

Hallo,

ein direktes sperren einer MAC-Adresse wie Sie es mit dieser Regel unter der Oberfläche gemacht haben ist nicht vorgesehen.

Sie können allerdings die MAC-Firewall verwenden, um etwas ähnliches zu erreichen:

- Legen Sie unter Netzwerk > Intranet > Rechner einen Rechner an.
- Tragen Sie Name und MAC ein.
- Sie müssen eine IP zuweisen. Wenn Sie den Rechner nur blocken wollen, kann es auch eine beliebige nicht verwendete IP sein
- Legen Sie als Firewallregel etwas einschränkendes fest, z.B. "Basis LAN"

Aktivieren Sie unter Netzwerk > Firewall > Einstellungen die MAC-Firewall.

Die MAC-Firewall stellt jetzt sicher, daß MAC und IP zusammenpassen müssen. Wenn von dieser MAC aus eine andere IP als die eingestellte verwendet wird, blockiert die Firewall.

Herzliche Grüße,

v. Egidy

[mathias]

Hallo Gerd,

Danke für die schnelle Antwort.

Die MAC-Firewall stellt jetzt sicher, daß MAC und IP zusammenpassen müssen. Wenn von dieser MAC aus eine andere IP als die eingestellte verwendet wird, blockiert die Firewall.

Klappt leider nicht so wie gewünscht:
DHCP-Anfragen von diesem Gerät kommen dennoch durch. Das ist im weitesten Sinne auch nachvollziehbar, da der Intranator in erster Näherung ja davon ausgehen muss "wenn ich diese Kiste kenne und ihr per DHCP eine IP-Adresse verpassen kann, dann darf ich DHCP nicht filtern".

Oder technischer: Es sind in den IPtables zuerst allow-Regeln für DHCP drinnen (siehe auch chain "input_decide"), bevor die usergenerierten oder auch die MAC-Firewall-Regeln zum Zug kommen.

Viele Grüße aus München,

Mathias

[Gerd von Egidy]

Hallo,

DHCP-Anfragen von diesem Gerät kommen dennoch durch.

Das stimmt, für den normalen Betrieb brauchen wir die ja.

Sollten wir uns jetzt nicht besser anschauen, warum die DHCP-Anfragen überhaupt Verwirrung stiften?

Sind das echte DHCP-Anfragen oder ist das BOOTP?

Was wird denn in der message-Logdatei zu den DHCP-Anfragen protokolliert?

Wie wirken sich die Probleme genau aus?

Herzliche Grüße,

v. Egidy

[mathias]

Hallo Gerd,

Sollten wir uns jetzt nicht besser anschauen, warum die DHCP-Anfragen überhaupt Verwirrung stiften?

Noch zuvor: Ich will wissen, welches physikalische Gerät das ist. Dazu muss ich aber zum Kunden selbst fahren (weil: "Nein, wir haben die letzten Tage nix ans Netz angesteckt"). Daher wollte ich das Ding vorerst "abklemmen".

Das Phänomen ist genau genommen folgendes: Im Logfile und mit tcpdump sieht man, es kommen viele dhcp-requests bzw. dhcp-discover (im Sekundentakt), der Intranator beantwortet sie auch (ab und zu), im logfile vom Intranator stehen sinvolle Dinge, aber irgendwie meint der Client nichts damit anfangen zu wollen oder so. Aus dem DHCP-Discover bzw. -Request kann ich leider nicht das anfragende Gerät erkennen, es scheint aber keine Windowskiste zu sein (da würde ein host-name mitgeschickt werden...)

Und da der DHCP-Server im Sekundentakt das Ding ACKed und ganz gerne die IP-Adresse samt hostname (mit add_dhcp_client) in die Konfig-Datenbank(?) schreiben moechte, kommt es irgendwann zu ekligen Problemen. Was mir auch aufgefallen ist: mit "netstat -nul" sieht man die Recv-Q des dhcpd wachsen auf sechsstellige Werte...

Aber für hier im Forum sollte es erstmal erledigt sein, im Endeffekt ist es ein "benutzerverursachtes Problem", ich wollte halt nur einen Filter im Intranator setzen um dann ohne Stress die eigentliche Ursache suchen.

Viele Grüße und vielen Dank,

Mathias