PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : mac filter per iptables



event_
09.03.08, 12:09
habe einen rechner mit 2 netzwerkkarten ausgestattet und nutze ihn als zwischenstück zwischen firmennetzwerk meines vaters und internet.

damit man auf den terminal server im firmennetzwerk per internet zugreifen kann wollte ich eine ssh verbindung mit port forwarding einrichten. läuft auch schon prima in dieser art.

da der pc ans internet nur per router angeschlossen ist ist auch nur port 22 geforwarded. trotzdem würde ich noch gerne einen mac filter einbauen damit leute die eventuell meine dyndns adresse scannen gar nicht mitbekommen das der ssh port offen ist.

hab mal bisschen gegooglet, anscheinend lässt es sich mit
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source
00:0F:EA:91:04:07 -j ACCEPT
lösen, wie müsste der rest der iptables firewall aussehen wenn ich quasi alles aus dem internet was an eth0 ankommt blocken will außer port 22 zugriff von mac adressen die ich mit mehreren dieser regel erlaube?
könnte es mir auch selber irgendwie zusammen basteln aber will keinen fehler in das iptables script einbauen da ichmich nich so gut damit auskenne.

was meint ihr übrigens generell über die sicherheitsstufe dieser verbindung, ok für eine anbindung ans firmennetzwerk bei der die wahrscheinlichkeit das einangriff darauf stattfindet sehr sehr gering ist?
ist halt eine arzt praxis, kollegen nutzen zb einen hardware vpn server, wäre dies noch einen schritt sicherer?
allerdings is gerade bei arztpraxen der sicherheitsgedanke noch nicht sehr weit verbreitet, kenne kollegen die den remote desktop connection port einfach auf den server per fritz box routen und windows login als sicher genug erachten...

away
21.03.08, 12:23
ich habe keine ahnung von deinem netzaufbau aber generell:


iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -p icmp -j DROP

Damit sperrst du alles was auf dein INPUT Chain rein will...
Aber damit haust du dir auch dns usw raus, weil du udp wegnimmst... was sinnvoll ist, musst du dann selber überlegen ;)