Hey, Je me demandais si c'était possible de restreindre l'accès à certains services du serveur ( SSH par exemple ) à certaines adresses MAC et pas à certaines adresses IP.

Ouaip, même principe qu'avec les IP. Exemple de limitation d'accès SSH, port 22 iptables -I INPUT -p tcp --dport 22 -m mac --mac-source A1:B2:C3:D4:E5:F6 -j ACCEPT

Super merci ! Je vais me pencher sur iptables alors pour l'installer

C'est déjà installé, si tu veux une "introduction" à IPtables y'a un lien dans ma signature.

J'ai bien mis la commande avec mon adresse mac, la règle est affichée avec iptables -L mais ça fonctionne toujours sur d'autres adresses mac. T'aurais pas une idée ?

Pour autoriser des règles sur tel port (entrant) ça implique que tu ais bloqué TOUt le trafic entrant en amont. L'as-tu bien mis en place ?

Avec cette commande du coup ? iptables -I INPUT -p tcp --dport 22 -j DROP

Voici un exemple de script à adapter selon tes besoins en INPUT (donc en trafic entrant). # SSH / autorisation adresse MAC1 -I INPUT -p tcp -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 22 -j ACCEPT => autorise le SSH sur port 22 pour MAC1 # Interface ruTorrent / autorisation MAC1 -I INPUT -p tcp -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 443 -j ACCEPT => autorise la connexion à ruTorrent, en HTTPS, pour MAC1 # ruTorrent / port.s de com avec peers -I INPUT -p tcp --dport 57380 -j ACCEPT => autorise les échanges avec les peers sur le port 57380 Tout le reste est bloqué en entrée. Libre à toi d'ajouter des règles selon ce que tu as/veux faire. Tu c/c ce script (une fois modifié) dans /etc/iptables.firewall.rules *filter # Purge des regles IPtables -P INPUT ACCEPT -P OUTPUT ACCEPT -P FORWARD ACCEPT -F -X # Regles de base # Autorisation de tout trafic sortant -P OUTPUT ACCEPT # Rejeter tout le trafic entrant sauf règles qui suivent -P INPUT DROP # Autorisation des connexions entrantes deja etablies -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Autorisation des connexions internes (loopback) -A INPUT -i lo -j ACCEPT # Autorisations entrantes # SSH / autorisation adresse MAC1 -I INPUT -p tcp -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 22 -j ACCEPT # Interface ruTorrent / autorisation MAC1 -I INPUT -p tcp -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 443 -j ACCEPT # ruTorrent / port.s de com avec peers -I INPUT -p tcp --dport 57380 -j ACCEPT COMMIT Puis tu sauvegardes ces règles sudo iptables-restore < /etc/iptables.firewall.rules Puis tu installes iptables-persistent pour rendre ces règles effectivent en cas de reboot sudo apt-get install iptables-persistent

Hey, J'ai essayé et malheureusement impossible de le faire marcher correctement. Il bloque bien les connections mais n'acceptent pas celle de l'adresse mac préciser.

OK, je me trompe peut-être de commande, peux-tu tester sans --mac-source ?

hello, par hasard ton serveur est sur le même réseau que ta machine possédant l'adresse MAC en question ?

Restreindre accès serveur : Page 2

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Restreindre accès serveur

Dwarf

C'est plus une question d'éducation que de nécessité

Salimeche

Attention, les adresses MAC des trames qui arrivent sur ton dédié sont celles des routeurs qui "portent" ton serveur.

Vu que tu ne maîtrises pas cette archi, tu peux oublier le filtrage par MAC

En fait, dès lors que tu traverses des réseaux différents, l'entête de niveau 2 (MAC) est altéré jusqu'au point final.
Si ça t'intéresse je te conseille de te renseigner sur les notions fondamentales des réseaux, le modèle OSI...

jean-luc

Dwarf wrote:C'est plus une question d'éducation que de nécessité

Salut;

Oui, si c'est pour enrichir tes connaissances, et faire mumuse, pourquoi pas !!.

Sinon en terme de bénéfices sécuritaires cette méthode n'apporte rien en parallèle de ses inconvénients.

Si tu utilises une connexion exclusive par paire de clefs (avec"PasswordAuthentication no" dans ton sshd_config), et que tu te fais hacker, ce sera du à une faille côté serveur web ou autres...

On fait hélas trop de fixation sur le ssh...à en oublier souvent tous les autres point de vulnérabilité...

A++

Dwarf

Justement le but était de bloquer toutes les connections entrantes via l'adresse mac des ordis que j'utilise, pas uniquement le ssh. Comme je n'ai pas une ip fixe la solution par ip ne me plaisait pas et du coup par curiosité j'ai demandé si c'était possible via l'adresse mac.

Sinon merci à tous de m'avoir éclairé en tout cas.

« Page précédente