Controllo dell’accesso in base all’indirizzo MAC
Si desidera che solo una macchina particolare, identificata dal suo indirizzo MAC, può accedere al tuo sistema.
# iptables -F INPUT # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -m mac --mac-source 12:34:56:89:90:ab -j ACCEPT # iptables -A INPUT -j REJECT
ipchains non supporta questa funzionalità.
Questa tecnica funziona solo all’interno della vostra sottorete locale. Se si riceve un pacchetto da una macchina di fuori della subnet, conterrà l’indirizzo MAC del gateway, non quella della macchina originale.
Gli indirizzi MAC possono essere contraffatti. Supponiamo di avere una macchina chiamata pippo il cui indirizzo MAC è considerato attendibile dal vostro firewall. Se un intruso scopre questo fatto, e pippo è giù, l’intruso potrebbe prendere l’indirizzo mac di pippo e il vostro firewall non saprebbe nulla. D’altra parte, se è pippo durante lo spoofing è acceso, il suo kernel inizierà “urlare” (via syslog) che il suo indirizzo mac è stato duplicato.