接続しよう私のネットワークの外で私はSSHサーバーに接続しますが、この接続を自分のMacアドレスに限定したいと思います。
このルールは次のように機能します。
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j ACCEPT
しかし、次のルールのどれも私には適していません。
iptables -t mangle -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
Mac認証でSSHを保護するにはどうすればよいですか?
PD:SSHがTCP / IPプロトコルであり、MACアドレスではなくIPアドレスのみを受信することを知っています。しかし、いくつかのフォーラムでこれが可能であることを見ましたが、方法は説明しませんでした。また、「ポートノッキング」、「パスワードの代わりにキー」など、sshを保護する他の方法があることと、Macsアドレスが偽造される可能性があることも知っています。しかし、まだmac verifyを使ってsshを介してエントリをチェックする方法を知りたいです。
答え1
サーバー/デバイスは、ルーターの背後にあるデバイスではなく、ローカルネットワーク上の他のデバイスのMACアドレスのみを表示できます。
したがって、あるデバイスを別のデバイスに直接接続できる場合は、お互いのMacを見ることができます。ただし、あるデバイスがルーター(スイッチやWiFiスイッチではなく、異なるネットワークインターフェイスを使用する2つのデバイス用のルーター)を介して別のデバイスに接続する必要がある場合、お互いのMacを見ることはできません。
a) この場合、デバイスはお互いの Mac を見ることができます。
(device1) <---\
----- (switch or wifi point)
(device2) <---/
b)この場合(デバイス1)は(ISPルーター)のMacのみを見ることができ、(デバイス2)のMacは見ることができません。
(device1) <-----> (ISP router) <-----> (device2)
これにより、Macに基づいてローカルネットワークと直接接続に関してWi-Fiポイントに接続できる人を設定できます。
しかし、遠隔地からネットワークにアクセスしようとしている装置のMACがわからない場合、遠隔装置のMACを知ることは役に立たない。
話しますか?
答え2
サーバーでは、実際のクライアントMacを見ることはできません。ここでは、ゲートウェイ(ルーターなど)Macのみを見ることができます。ネットワークとプロトコルの内容を読む必要があります。