Linux Routing abhängig von MAC oder Benutzer der Quelle?
Folgendes Problem stellt sich mir:
Es existieren 2 Netzwerke. Netz A und B stellen interne Netzwerke dar, C sei das Internet.
Als Router zwischen diesen Netzen dient eine Suse 10.2 Box mit 3 NIC's.
Netzwerk A darf auf C ohne EInsschränkungen zugreifen, von A auf B sollten aber nur spezielle Rechner (alles Windows Clients) zugreifen dürfen. Ich würde das Routing gerne von der MAC-Adresse der CLients abhängig machen, bzw. von irgendeinem Authentifizierungsverfahren. Ist das möglich? Wenn ja, wie?
Danke im voraus!
Es existieren 2 Netzwerke. Netz A und B stellen interne Netzwerke dar, C sei das Internet.
Als Router zwischen diesen Netzen dient eine Suse 10.2 Box mit 3 NIC's.
Netzwerk A darf auf C ohne EInsschränkungen zugreifen, von A auf B sollten aber nur spezielle Rechner (alles Windows Clients) zugreifen dürfen. Ich würde das Routing gerne von der MAC-Adresse der CLients abhängig machen, bzw. von irgendeinem Authentifizierungsverfahren. Ist das möglich? Wenn ja, wie?
Danke im voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68011
Url: https://administrator.de/forum/linux-routing-abhaengig-von-mac-oder-benutzer-der-quelle-68011.html
Ausgedruckt am: 25.12.2024 um 01:12 Uhr
5 Kommentare
Neuester Kommentar
Ich denke das Routing hängt von den Routen ab, die auf dem Linux Rechner konfiguriert sind (bzw. vorhanden sind). Ansonsten gebe es "policy based routing", doch das kenn ich nur von Cisco Routern.
Das was du machen willst ist wohl am einfachsten mit IP-Tables realisierbar, wobei jedoch nicht nach MAC, sondern nach IP-Adressen geregelt werden kann, welcher PC wohin kommunizieren darf.
Prinzipiell würde ich für sowas jedoch einen kleinen billigen Router mit eingebauter Firewall nehmen. Die kosten fast nix mehr, und da ist alles drin was man braucht und leichter zu konfigurieren. Und weniger Strom frisst so ein Kistchen auch, im Vergleich mit nem vollwertigen Rechner, der ständig laufen muss.
Das was du machen willst ist wohl am einfachsten mit IP-Tables realisierbar, wobei jedoch nicht nach MAC, sondern nach IP-Adressen geregelt werden kann, welcher PC wohin kommunizieren darf.
Prinzipiell würde ich für sowas jedoch einen kleinen billigen Router mit eingebauter Firewall nehmen. Die kosten fast nix mehr, und da ist alles drin was man braucht und leichter zu konfigurieren. Und weniger Strom frisst so ein Kistchen auch, im Vergleich mit nem vollwertigen Rechner, der ständig laufen muss.
Die MAC "wirkt" ja nur im lokalen Netz. Am Routerinterface wird die MAC des Clients durch die Router-Interface MAC (also die Linux Netzwerkkarte die für das A-Netz das Gateway spielt) ersetzt.
Daher ist das schon aus meiner Sicht nicht möglich da was auf MAC Ebene zu basteln.
Und die MAC ist ja fast leichter auszutauschen als die IP. Bzw. ist beides leicht zu "fälschen".
Du kannst doch an den Rechnern in Netz B einfach eine Authentisierung an den Ressourcen einrichten, sprich keiner kann auf die Daten oder Dienste die Rechner in Netz B haben zugreifen, solange er sich nicht an den Rechnern selbst authentisieren kann (z. B. für Freigaben Zugriff). Die Rechner sollten ferner Personal Firewalls haben, dann ist da eh kein Zugriff möglich, ausser man erlaubt ihn explizit für bestimmte Transportprotokole, Ports u. IPs.
Daher ist das schon aus meiner Sicht nicht möglich da was auf MAC Ebene zu basteln.
Und die MAC ist ja fast leichter auszutauschen als die IP. Bzw. ist beides leicht zu "fälschen".
Du kannst doch an den Rechnern in Netz B einfach eine Authentisierung an den Ressourcen einrichten, sprich keiner kann auf die Daten oder Dienste die Rechner in Netz B haben zugreifen, solange er sich nicht an den Rechnern selbst authentisieren kann (z. B. für Freigaben Zugriff). Die Rechner sollten ferner Personal Firewalls haben, dann ist da eh kein Zugriff möglich, ausser man erlaubt ihn explizit für bestimmte Transportprotokole, Ports u. IPs.
Normalerweise löst man sowas an einen Switch. Das Feature heisst Mac based VLANs oder Mac Authentication. Die MAC des Gerätes wird lokal im Switch oder über Radius authentifiziert und kommt damit ins Netz oder nicht.
Ansonsten hast du noch die Möglichkeit über statische MAC Filterlisten am Switch bestimmte Rechner ins Netz zu lassen oder andere nicht.
Mit der richtigen Switching Hardware ist das kein Problem...
@einfach-mal....
So gut wie alle anderen Premium Hersteller im Netzwerkbereich supporten auch PBR !!!
Ansonsten hast du noch die Möglichkeit über statische MAC Filterlisten am Switch bestimmte Rechner ins Netz zu lassen oder andere nicht.
Mit der richtigen Switching Hardware ist das kein Problem...
@einfach-mal....
So gut wie alle anderen Premium Hersteller im Netzwerkbereich supporten auch PBR !!!