将 MAC 地址列入黑名单,但它们仍需要 DHCP 租约

tag-icon tag-icon debian isc-dhcp
将 MAC 地址列入黑名单,但它们仍需要 DHCP 租约

在我的工作场所,我们有一个公共 Wifi 网络和一个私人 Wifi 网络。私人网络可以查看其他计算机、打印机、服务器以及互联网访问权限。在公共网络,用户需要使用来自我们服务器的用户名/密码组合通过强制门户进行身份验证(仅适用于我们员工的个人设备)。

早在我接手这份工作之前,密钥就已经泄露了,我已经清理了大部分内容。我有脚本(由其他团队成员编写,不是我自己编写的!),这些脚本会检查 Debian Wheezy 上的 DHCP 租约,并输出制造商、DNS 名称、IP 地址以及 DHCP 服务器与之交互的所有设备的 MAC 地址。使用这些脚本,我可以创建一个 MAC 地址黑名单,iptables 会帮我阻止它们。我更新/etc/blacklist.txt,当 iptables 启动时,它会执行iptables -A INPUT $if -m mac --mac-source $i -j DROP$i从文件中读取)。

这将阻止他们的设备连接到我们的网络资源和互联网。不幸的是,它直到设备已从 获得 IP 地址isc-dhcp-server。因此,我的问题是,我怎样才能阻止他们获得为他们分配了 IP 地址吗?是的,我知道他们可以为自己分配一个静态 IP 地址并绕过 DHCP 服务器,但我仍然想iptables根据他们的 MAC 地址(希望不会改变)阻止他们。是的,我知道我可以增加 DHCP 服务器的范围,但我希望管理层意识到管理占用我们网络的私有设备的困难工作通过连接和绕过我们的强制门户来获取资源。

有人想到的一个解决方案(嗯,部分解决方案)是在我的/etc/dhcp/dhcpd.conf文件中创建一个黑洞类,并用我不想连接的设备的 MAC 地址填充它。这可行,但需要在多个地方更新 MAC 地址,而我不想这样做。我希望能够在一个文件中更新 MAC,然后可能运行一个脚本,将更改添加到我的 DHCP 文件和我的iptables规则中。

答案1

使用ebtables而不是iptables来阻止第 2 层的 MAC 地址:

ebtables -A INPUT -s 00:11:22:33:44:55 -j DROP

答案2

虽然我认为使用ebtables可能是答案,但这是我不想添加到配置中的另一层。另一位技术人员帮助我编写了一个脚本来解析 IP 地址黑名单,并将它们添加到一个新池中,该池根本不会给出任何 IP 地址。它采用我也放入的常规黑名单(每行一个 MAC 地址)iptables,然后创建新池。

在我的/etc/dhcp/dhcpd.conf文件中,我在顶部附近创建了一个新类:

class "blacklist" {
    match hardware;
}

在我的“局域网私有端”池中,我添加了以下内容:

deny members of "blacklist";

...最后我补充道:

include "/etc/dhcp/blacklist.conf";

然后,我创建一个如下所示的 Python 脚本:

#!/usr/bin/perl

my $if;
my @macs;
my $line = 0;

if ($ARGV[0]) {
    $if = "-i $ARGV[0]";
}

while (<stdin>) {
    $line++;

    next if /^$/;
    next if /^\s*#/;

    chomp;

    if (/^([a-f0-9]{2}((:|-)[a-f0-9]{2}){5})$/) {
        push(@macs, $_);
    }
    else {
        die("syntax error on line $line\n");
    }
}


open(OUT, ">/etc/dhcp/blacklist.conf");
foreach my $i (@macs) {
    $i =~ tr/-/:/;
    print OUT "subclass \"blacklist\" 1:$i;\n";
}
close(OUT);

我保存它,然后使用 添加执行位chmod +x /usr/local/sbin/dhcpd-macblock.py,并设置一个 cron 作业,每小时将黑名单输入脚本:

cat /etc/blacklist.txt | dhcpd-macblock.py

每个小时,它都会创建一个新文件,其中包含所有我不想要的 MAC 地址,并且它们甚至没有获得 DHCP 保留,而我的位置正在慢慢释放。

答案3

如果您有权访问该设置,并且硬件允许,则更简单的解决方案可能是将您的接入点配置为拒绝您想要过滤的 MAC 地址,而不是“稍后”使用 iptables 过滤它们。这还可以解决人们为其设备分配静态 IP 的问题,因为如果在 AP 级别过滤它们,它们可能根本不会与网络关联。当然,这不能解决“非静态”MAC 地址的问题……

答案4

据我所知,除了使用建议的 etables 之类的东西并进行额外的簿记之外,没有其他办法。

我以前见过这个问题,我发现使用的解决方案与您已经使用的解决方案几乎相同。如果您让脚本每隔几分钟运行一次,那么未经授权的设备在网络上停留的时间就会很短,这可能是一个可以接受的权衡。

您还应该考虑将无线身份验证与 LDAP 服务器链接起来,假设您已经使用过类似的东西,这应该很容易。否则,尽快合并 LDAP 或其他集中式身份验证系统(在大多数情况下,本地用户帐户不是一个好主意)。然后根据具体情况创建通用访客帐户或访客帐户。这样,即使用户可能拥有无线密钥,他们仍然无法接入无线网络,直到他们进行身份验证。通常,这将通过无线路由器将流量重定向到的网页来完成。只有在身份验证后,才会创建路由以允许流量。

相关内容