Ethernet(Layer2) Packet 封包檢測

防火牆資訊安全 security ebtables ethernet

gogodunhill 2014-01-30 02:20:47 ‧ 7643 瀏覽

分享至

各位先進大大們,
小弟想請問有哪個在Linux的工具可以做到對Ethernet(Layer 2)封包進行payload的過濾?

由於這種Ethernet封包並沒有IP的標頭,只有 Source and Destination MAC位址,
iptables完全抓不到這類的封包, 而 ebtables 只能針對 MAC位址進行過濾,
小弟想針對這種封包的payload部分進行檢測,例如指定檢測Ethernet封包的最後一個byte.
卻苦苦找不到工具...
還請各位先進大大們指點迷津! 小弟真心感激萬分啊!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

cmwang

iT邦大師 1 級 ‧ 2014-01-30 09:11:38

最佳解答

印象中Linux的iptables可以把L2的封包當成L3處理,再配合string模組應該就能做到,不過現在書不在手邊就是了....

回應 2
分享
檢舉

gogodunhill iT邦新手 5 級 ‧ 2014-01-30 19:37:07 檢舉

懇請CM大大再提供詳細一點的資訊...感覺很接近了啊!!

cmwang iT邦大師 1 級 ‧ 2014-02-05 20:58:10 檢舉

請參考悅知文化出版的Linux網路安全技術與實現,第9章關於通透式防火牆的部份(主要由351頁開始),不過鵝也沒試過就是了....

登入發表回應

macliu

iT邦研究生 5 級 ‧ 2014-01-31 13:38:03

這功能不常用
我憑記憶回應您
請您參考看看囉！

指令格式如下：
#iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
這樣是直接拒絕指定的MAC連進Linux
#iptables -t mangle -A PREROUTING -s <IP> -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
一進入Linux ROUTER就先判斷是否要予與拒絕

================================
馬克資訊科技有限公司(M.I.T.C.)
系統工程師
Mac Liu(劉淵精)
[MCSE/MCDBA/CCNA/TCSE/RHCSA/RHCE]
macliu@mac-tech.idv.tw
Http://www.mac-it.com.tw
TEL：02-87928846
FAX：02-87928845
Mobile：0927-300404
MSN&FB：macliu_tw@hotmail.com