Limiter l'accès via l'adresse MAC

Question

Je configure une pile WAMP/LAMP sur un ancien PC. Cet ordinateur sera connecté à un réseau local avec environ une douzaine d'autres PC. Je suis intéressé à limiter l'accès à partir des ordinateurs de tous les autres, afin que seul mon partenaire et moi-même puisse accéder à notre serveur local. La meilleure façon, je pense, de faire cela est de bloquer l'adresse MAC de tout le monde (le routeur attribue automatiquement les adresses IP, donc je ne veux pas en être dépendant). Je voudrais ajouter que je n'ai pas accès à la page de configuration du routeur, donc cela devrait être fait à partir du serveur lui-même.

Quelqu'un peut-il développer comment cela est fait?

Answer 1

Le premier endroit à regarder est le panneau de contrôle de votre routeur. Habituellement, les routeurs (au moins pour le sans fil) permettent un contrôle d'accès basé sur des adresses physiques.

La deuxième chose à vous aider est le pare-feu. Recherchez un pare-feu qui limite l'accès par adresse MAC (si vous utilisez Linux, je suis sûr qu'il a déjà cette capacité, sur mon wintel j'utilise Comodo Personal Firewall qui me permet de filtrer par adresse physique.)

Answer 2

Si vous ne pouvez pas jouer avec le routeur, vous devez mettre en œuvre des restrictions sur le serveur lui-même: selon la façon dont paranoïaque vous voulez être, quelques options qui viennent à l'esprit sont:

• Easiest - installation d'un VirtualHost dans Apache définissant le nom d'hôte à quelque chose d'unique qui ne résout pas via DNS: ajoutez simplement cette entrée à votre fichier hosts local et voila - toute personne accédant au serveur via IP aura l'hôte Apache par défaut (page d'accueil).
• Moyen - utilisation mod_auth_basic pour ajouter de base (nom d'utilisateur + mot de passe par htpasswd) l'accès au serveur Web
• Hardest - ajouter des règles iptables pour bloquer tous les accès au port 80, sauf de données
mac

Answer 3

linux/iptables, le tri de manière liste noire, cela diminuera tout le trafic provenant des adresses MAC spécifiées:

iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 1> -j DROP 
iptables -I INPUT 1 -m mac --mac-source <blacklisted mac 2> -j DROP 

Cependant, je ne suis pas sûr que ce soit ce que vous voulez, le mac adresse n'est pas vraiment une méthode fiable de filtrage de votre trafic. La plupart des cartes réseau modernes vous permettent de changer votre adresse mac, et si le paquet ip que le cadre ethernet encapsule a traversé un routeur, l'adresse source-mac sur la trame ethernet sera la dernière routeur qu'il a traversé et pas l'ordinateur d'origine.

Je vous suggère de regarder dans mod_auth_basic ou quelque chose de similaire, c'est beaucoup plus indulgent que iptables lorsque vous faites des erreurs. Et si vous décidez d'emprunter la route iptables, je suggérerais plutôt une approche de liste blanche où iptables abandonnerait un certain trafic par défaut et autoriserait ensuite ce que vous voulez.

iptables -A INPUT -p tcp --dport 80 -m mac --source <your mac> -j ACCEPT 
iptables -A INPUT -p tcp --dport 80 -m mac --source <your partners mac> -j ACCEPT 
iptables -A INPUT -p tcp --dport 80 -j DROP