分类: LINUX
2009-04-29 10:12:38
在Linux 2.4内核中,包过滤模块发生了根本性的变化,完全由内核控制,效率得到了很大的提高。控制内核包过滤的工具,也用iptables取代了 ipchains。在iptables的标准发布中,就带有MAC地址匹配的模块。我们可以通过iptables -m mac 命令来装载它。 假 设局域网通过一Linux网关接入Internet,我们为拥有上网权限的A用户分配了IP地址192.168.1.25/32,其MAC地址为00: 02:01:50:bb:53。根据TCP/IP原理,最终封装后的IP数据包实际上有一个包含网卡MAC地址的字段。因此,我们可以通过检查这一字段来 达到防止盗用IP的目的。在这个例子中,就是在Linux网关上检查来自192.168.1.25/32的包,看看这些包的MAC地址是不是00:02: 01:50:bb:53。具体命令如下: # 设置PREROUTING链的默认规则为丢弃,以禁止所有包通过。iptables -t nat -P PREROUTING DROP# 检查IP地址为192.168.1.25/32的用户的MAC地址。如果与指定的MAC地址不匹配,说明源自192.168.1.25的包并不是从该网卡 上发出的,即是非法用户,就应当丢弃这些包。iptables -t nat -A PREROUTING -s 192.168.1.25 -m mac -mac-source ! 00:02:01:50:bb:53 -j DROP# 如果MAC地址匹配,包才能到达这里,并被允许通过。iptables -t nat -A PREROUTING -s 192.168.1.25 -j ACCEPT 这样,即使有一个未授权用户B自己设置了IP地址为192.168.1.25(由于本机设置始终优先于DHCP,所以这种情况是很普遍的),当包通过网关时由于MAC地址不匹配,他仍然不能拥有A用户的权限。这样就达到了识别用户的目的。 使用代理服务器自身的MAC地址检查功能 Linux 下使用较多的代理服务器是Squid和Socks5。此处以Squid为例,说明如何检查客户端MAC地址。由于Squid的RPM发布版通常没有启用这 一特性,这种版本使用MAC匹配会提示错误的acl类型,所以我们必须手工编译源代码。首先下载squid-2.x-src.tar.gz,然后用tar xvfz squid....tar.gz命令解开源代码,并进入展开后的子目录,用./configure配置编译选项。除了启用自己需要的特性外,再加上参数 -enable-arp-acl,即允许设置acl(Access Control List)为arp(MAC地址匹配)方式。然后执行make, make install。 安装完成后,就可以修改squid.conf来匹配MAC地址了,如下所示: # 设置一个accept_group列表,该用户的MAC地址为00:02:01:50:bb:53。acl access_group arp 00:02:01:50:bb:53# 根据最低安全要求,设置all列表,包含源IP地址为0/0,即所有用户。acl all src 0/0 # 允许accept_group组正常访问 http_access allow accept_group # 禁止其他所有未经授权的访问 http_access deny all 启动Squid,并配置正确的缓存目录和端口转发。 当Squid 收到请求时,无论请求用户来自哪个IP地址或主机,它都会检查其MAC地址,并且只允许MAC地址为00:02:01:50:bb:53的请求通过。这样 也可以实现客户端零配置的用户识别。对于使用iptables + Squid做透明代理的Linux网关来说,可以选择iptables或Squid来识别用户。 |