51学通信论坛2017新版

标题: 「原创」利用iptables MAC源地址控制接入 [打印本页]

作者: admin 时间: 2017-11-15 21:10
标题: 「原创」利用iptables MAC源地址控制接入
某客户一台保垒主机，进行后台业务操作必须经过此保垒主机。现为了配合SOX审计，需对具有合法登记的MAC主机进行接入控制。iptables脚本如下：
#!/bin/bash
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP #系统默认为ACCEPT
iptables -A INPUT -m mac --mac-source 00-01-6c-07-32-40 -p tcp --dport 22 -j ACCEPT #表示MAC地址为00-01-6c-07-32-40的主机允许访问保垒主机的22端口
iptables -A INPUT -m mac --mac-source 00-17-31-FB-7A-B7 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-16-d3-2c-1d-d2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-D0-B7-C8-52-5C -p tcp --dport 22 -j ACCEPT

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。

欢迎光临 51学通信论坛2017新版 (http://bbs.51xuetongxin.com/)