https://support.qbpro.ru/index.php?action=history&feed=atom&title=%D0%94%D0%B5%D0%BB%D0%B0%D0%B5%D0%BC_%D0%BF%D1%80%D0%B8%D0%B2%D1%8F%D0%B7%D0%BA%D1%83_ip_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2_%D0%BA_mac_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%D0%BC Делаем привязку ip адресов к mac адресам - История изменений 2026-04-03T23:32:26Z История изменений этой страницы в вики MediaWiki 1.38.1 https://support.qbpro.ru/index.php?title=%D0%94%D0%B5%D0%BB%D0%B0%D0%B5%D0%BC_%D0%BF%D1%80%D0%B8%D0%B2%D1%8F%D0%B7%D0%BA%D1%83_ip_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2_%D0%BA_mac_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%D0%BC&diff=1491&oldid=prev imported>Vix: Новая страница: «Есть выделенный сервер с XCP (Xen Cloud Platform), есть диапазон ip выданный провайдером. Как сделат…» 2014-08-05T11:41:56Z <p>Новая страница: «Есть выделенный сервер с XCP (Xen Cloud Platform), есть диапазон ip выданный провайдером. Как сделат…»</p> <p><b>Новая страница</b></p><div>Есть выделенный сервер с XCP (Xen Cloud Platform), есть диапазон ip выданный провайдером. Как сделать так, чтобы клиенты не могли поменять свой ip внутри xen машин? Привязка к mac адресу! Но как сделать, чтобы и mac адрес не сменили? Воспользуемся iptables на сервере XCP. Нам понадобится XCP версии минимум 1.1, в 1.0 ядро не поддерживает фильтрацию по mac адресам.<br /> <br /> Делаем так:<br /> <br /> Очищаем правила iptables:<br /> <br /> iptables -F<br /> <br /> <br /> Разрешаем клиенту с ip 46.4.180.227 и с mac адресом 11:11:11:11:11:11 и 2му клиенту с ip 46.4.180.228 и с mac адресом 22:22:22:22:22:22: <br /> <br /> iptables -A FORWARD -m mac --mac-source 11:11:11:11:11:11 -s 46.4.180.227 -j ACCEPT<br /> iptables -A FORWARD -m mac --mac-source 22:22:22:22:22:22 -s 46.4.180.228 -j ACCEPT<br /> <br /> <br /> Если ip другой, но mac прежний, то запрещаем:<br /> <br /> iptables -A FORWARD -m mac --mac-source 11:11:11:11:11:11 -j DROP<br /> iptables -A FORWARD -m mac --mac-source 22:22:22:22:22:22 -j DROP<br /> <br /> <br /> Блокируем все неиспользуемые ip (эти правила будут наверху цепочки):<br /> <br /> iptables -I FORWARD -s 46.4.180.229 -j DROP<br /> iptables -I FORWARD -s 46.4.180.230 -j DROP<br /> iptables -I FORWARD -s 46.4.180.231 -j DROP<br /> <br /> <br /> Цепочка FORWARD должна выглядеть так:<br /> <br /> iptables -L -n<br /> <br /> <br /> Chain FORWARD (policy ACCEPT)<br /> target prot opt source destination <br /> DROP all -- 46.4.180.231 0.0.0.0/0 <br /> DROP all -- 46.4.180.230 0.0.0.0/0 <br /> DROP all -- 46.4.180.229 0.0.0.0/0 <br /> ACCEPT all -- 46.4.180.227 0.0.0.0/0 MAC 11:11:11:11:11:11 <br /> ACCEPT all -- 46.4.180.228 0.0.0.0/0 MAC 22:22:22:22:22:22<br /> DROP all -- 0.0.0.0/0 0.0.0.0/0 MAC 11:11:11:11:11:11<br /> DROP all -- 0.0.0.0/0 0.0.0.0/0 MAC 22:22:22:22:22:22<br /> <br /> <br /> Теперь доступ на внешку и из внешки к виртуальной машине возможен только при правильном ip и mac адресе внутри виртуальной машины.<br /> <br /> [http://mtaalamu.ru/blog/admining/2094.html взято тут]</div> imported>Vix