iptablesルールは、Mac認証を介してSSHへの外部接続を許可します。

iptablesルールは、Mac認証を介してSSHへの外部接続を許可します。

接続しよう私のネットワークの外で私はSSHサーバーに接続しますが、この接続を自分のMacアドレスに限定したいと思います。

このルールは次のように機能します。

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j ACCEPT

しかし、次のルールのどれも私には適していません。

iptables -t mangle -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT

Mac認証でSSHを保護するにはどうすればよいですか?

PD:SSHがTCP / IPプロトコルであり、MACアドレスではなくIPアドレスのみを受信することを知っています。しかし、いくつかのフォーラムでこれが可能であることを見ましたが、方法は説明しませんでした。また、「ポートノッキング」、「パスワードの代わりにキー」など、sshを保護する他の方法があることと、Macsアドレスが偽造される可能性があることも知っています。しかし、まだmac verifyを使ってsshを介してエントリをチェックする方法を知りたいです。

ベストアンサー1

サーバー/デバイスは、ルーターの背後にあるデバイスではなく、ローカルネットワーク上の他のデバイスのMACアドレスのみを表示できます。

したがって、あるデバイスを別のデバイスに直接接続できる場合は、お互いのMacを見ることができます。ただし、あるデバイスがルーター(スイッチやWiFiスイッチではなく、異なるネットワークインターフェイスを使用する2つのデバイス用のルーター)を介して別のデバイスに接続する必要がある場合、お互いのMacを見ることはできません。

a) この場合、デバイスはお互いの Mac を見ることができます。

(device1) <---\
                ----- (switch or wifi point)
(device2) <---/

b)この場合(デバイス1)は(ISPルーター)のMacのみを見ることができ、(デバイス2)のMacは見ることができません。

(device1) <-----> (ISP router) <-----> (device2)

これにより、Macに基づいてローカルネットワークと直接接続に関してWi-Fiポイントに接続できる人を設定できます。

しかし、遠隔地からネットワークにアクセスしようとしている装置のMACがわからない場合、遠隔装置のMACを知ることは役に立たない。

話しますか?

おすすめ記事