iptables -A INPUT -m mac --mac-source 1C:**:2C:**:78:** -j ACCEPT 이거 안먹히는 이유좀 알려주세요.
글쓴이: genuiner / 작성시간: 수, 2016/04/27 - 5:25오후
다음과 같이 진행 했을 때 웹페이지에 접속이 안됩니다.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m mac-source 1C:**:2C:**:78:** -j ACCEPT
iptables -A FORWARD -m mac-source 1C:**:2C:**:78:** -j ACCEPT
이렇게 했을 때....해당 맥어드레스의 PC를 이용해 웹페이지에 접속할 수가 없습니다.
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
이렇게 되어있을 때는 접속이 잘 됩니다.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
이렇게 했을 때도 접속이 잘 됩니다.
구글에서 맥어드레스로 차단하는거 보고 DROP을 ACCEPT로 바꾼건데...왜 안되는걸까요??
행복한 하루 되시고, 아시는 내용 좀 공유 해주시면 감사하겠습니다~
Forums:
저렇게 하면 작동 하나요?
-m mac-source 가 아니라
-m mac --mac-source 로 해야 하지 않나요??
1."구글에서 맥어드레스로 차단하는거 보고
1.
"구글에서 맥어드레스로 차단하는거 보고 DROP을 ACCEPT로 바꾼건데...왜 안되는걸까요??"
질문 자체가 이해가 안됩니다.
예를 들어, 가장 간단한 형태로
PC - 라우터 - 구글서버
이렇게 3개 연결되어 있다고 가정할 때 라우터 전후로 해서 물리주소 변환이 일어납니다.
일반적인 IP통신을 한다고 할 때 서버단에서 알 수 있는 식별자는
단말의 IP주소와 통신 프로세스의 포트 넘버밖에 없습니다.
(물론 별도의 응용계층 프로토콜이 돌고 있으면 알 수 있습니다만..)
2.
iptables 설정에 관해서 제가 알고 있는 문서 중 가장 자세히 설명하고 있는 문서입니다.
https://www.frozentux.net/iptables-tutorial/chunkyhtml/c962.html
input은 단지 내 PC에서 외부로 나가는 것을 가리키는게 아니라
외부에서 내 PC로 들어오는 것도 포함합니다.
제가 이해한
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m mac-source 1C:**:2C:**:78:** -j ACCEPT
iptables -A FORWARD -m mac-source 1C:**:2C:**:78:** -j ACCEPT
의 설정은
"모든 입출력은 막되, 특정 MAC주소만 허용해라"
= 내 PC에서 나가는 것만 허용해라
= 내 PC로 들어오는건 모두 막아라
(* 맥 주소를 인위적으로 조작하지 않는 한
나와 동일한 맥주소를 갖는 경우는 나 자신 말고는 없음)
이렇게 됩니다.
3.
따라서 구글에서 맥주소로 특정 유저(PC)를 차단한다는건 상식적으로 말이 되지 않습니다.
(설사 서버에서 클라의 맥주소를 안다고 가정해도, 맥주소는 너무나 쉽게 변조 가능해서..)
아마도 처음 iptables 설정으로 통신이 되지 않은 것은 구글이 차단한 것이 아니라,
"패킷을 보냈으나 응용프로그램 단에서 수신할 수 없어서(커널에서 패킷을 버려서)"
라고 생각합니다.
혹시 틀린 것을 적었다면 지적 달갑게 받겠습니다.
genuiner wrote: 구글에서 맥어드레스로
아마 구글에서 iptables 관련 mac-address 차단하는 방법을 검색해보니 유사한 것을 찾았고, 해당 코드에 DROP으로 되어 있는 부분을
ACCEPT로만 바꿨다는 의미인 듯 싶네요.
이 경우는 크게 의심할 여지가 없어 보이는데 실제 패킷의 mac이 iptables과 매치되게 들어오는지 확인해봐야 하겠습니다.
tcpdump로 확인 해보면 되겠죠..
소곤소곤
댓글 달기