run0604
Goto Top

Linux Routing abhängig von MAC oder Benutzer der Quelle?

Folgendes Problem stellt sich mir:

Es existieren 2 Netzwerke. Netz A und B stellen interne Netzwerke dar, C sei das Internet.
Als Router zwischen diesen Netzen dient eine Suse 10.2 Box mit 3 NIC's.

Netzwerk A darf auf C ohne EInsschränkungen zugreifen, von A auf B sollten aber nur spezielle Rechner (alles Windows Clients) zugreifen dürfen. Ich würde das Routing gerne von der MAC-Adresse der CLients abhängig machen, bzw. von irgendeinem Authentifizierungsverfahren. Ist das möglich? Wenn ja, wie?

Danke im voraus!

Content-ID: 68011

Url: https://administrator.de/forum/linux-routing-abhaengig-von-mac-oder-benutzer-der-quelle-68011.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

spacyfreak
spacyfreak 06.09.2007 um 08:27:02 Uhr
Goto Top
Ich denke das Routing hängt von den Routen ab, die auf dem Linux Rechner konfiguriert sind (bzw. vorhanden sind). Ansonsten gebe es "policy based routing", doch das kenn ich nur von Cisco Routern.
Das was du machen willst ist wohl am einfachsten mit IP-Tables realisierbar, wobei jedoch nicht nach MAC, sondern nach IP-Adressen geregelt werden kann, welcher PC wohin kommunizieren darf.

Prinzipiell würde ich für sowas jedoch einen kleinen billigen Router mit eingebauter Firewall nehmen. Die kosten fast nix mehr, und da ist alles drin was man braucht und leichter zu konfigurieren. Und weniger Strom frisst so ein Kistchen auch, im Vergleich mit nem vollwertigen Rechner, der ständig laufen muss.
run0604
run0604 06.09.2007 um 08:50:48 Uhr
Goto Top
Da geb ich dir recht, aber ich will damit einfach vermeiden, dass jemand auf seinem Rechner die IP-Adresse ändern könnte und damit auch ins Netz B kommt. Ist schon klar, das Auswechseln der MAC ist auch kein Problem, kommt mir aber eher unwahrscheinlicher vor.
policy based routing ist auch unter linux möglich, aber ich blick da ehrlich gesagt nicht ganz durch.......
spacyfreak
spacyfreak 06.09.2007 um 09:20:34 Uhr
Goto Top
Die MAC "wirkt" ja nur im lokalen Netz. Am Routerinterface wird die MAC des Clients durch die Router-Interface MAC (also die Linux Netzwerkkarte die für das A-Netz das Gateway spielt) ersetzt.
Daher ist das schon aus meiner Sicht nicht möglich da was auf MAC Ebene zu basteln.
Und die MAC ist ja fast leichter auszutauschen als die IP. Bzw. ist beides leicht zu "fälschen".

Du kannst doch an den Rechnern in Netz B einfach eine Authentisierung an den Ressourcen einrichten, sprich keiner kann auf die Daten oder Dienste die Rechner in Netz B haben zugreifen, solange er sich nicht an den Rechnern selbst authentisieren kann (z. B. für Freigaben Zugriff). Die Rechner sollten ferner Personal Firewalls haben, dann ist da eh kein Zugriff möglich, ausser man erlaubt ihn explizit für bestimmte Transportprotokole, Ports u. IPs.
run0604
run0604 06.09.2007 um 14:54:54 Uhr
Goto Top
Leider ist die Vorgabe, dass die Rechner überhaupt nicht ins Netz dürfen. Anyway, habe das Problem anders gelöst. Das Routing mache ich standardmäßig über die Routingtables und den Rest erledige ich mit den iptables (hier kann man nach MAC'S filtern) und FWbuilder.
Danke aber für die Hilfe
aqui
aqui 06.09.2007 um 16:36:59 Uhr
Goto Top
Normalerweise löst man sowas an einen Switch. Das Feature heisst Mac based VLANs oder Mac Authentication. Die MAC des Gerätes wird lokal im Switch oder über Radius authentifiziert und kommt damit ins Netz oder nicht.
Ansonsten hast du noch die Möglichkeit über statische MAC Filterlisten am Switch bestimmte Rechner ins Netz zu lassen oder andere nicht.
Mit der richtigen Switching Hardware ist das kein Problem...

@einfach-mal....
So gut wie alle anderen Premium Hersteller im Netzwerkbereich supporten auch PBR !!!