mac con iptables no me funcionan

Horst von Brand vonbrand en inf.utfsm.cl
Mar Mar 16 21:16:40 CLT 2004 

=?ISO-8859-1?Q?=22Iv=E1n_Lizana_S=2E=22?= <ils en atlasparts.cl> dijo:
> Horst von Brand wrote:
> > "Unidad Sistemas" <sistemas en doUnMail.zzn.com> dijo:
> >>quiero bloquear en un router linux a un usuario que constantemente me
> >>causa problemas ,

[...]

> > Esta tras _otro_ router? En esta red veras como origen del trafico la MAC
> > del router.

> con razon no he podido dar autorizacion de entrada via MAC, ¿el MAC es 
> transportado por el encabezado del pqte?, si es asi, porque el router se 
> toma la molestia de cambiar la MAC a la suya?, si no es asi, ¿Como uno 
> se informa de la MAC de otro pc ?


Lo que pasa es que (PC molestoso == M, Router == R, Firewall == F):


       A     B     
    M --- R --- F --- Internet

La conexion entre M y R se lleva via Ethernet (red A), M pone un frame
Ethernet conteniendo el datagrama IP con destino Internet en la red A, con
direccion fisica (MAC) origen la de M y destino la tarjeta en A de R. R
toma los _datos_ del frame Ethernet enviado por M (el datagrama IP), lee la
informacion de IP destino que viene en el datagrama IP, decide que debe
salir por la red B hacia F, y pone un frame Ethernet conteniendo el
datagrama IP en la red B con destino a F. Como es otra red, y el origen
fisico es ahora la tarjeta en B de R, obviamente lleva MAC origen de
esta. El clasico mono de la mun~eca rusa:



   +--------+--------------------------------------------------------+--+
   | Encab. | +---------+------------------------------------------+ |  |
   | Ether. | | Enc. IP +-----------------------------------------+| |C |
   | (MAC,  | | (origen,| Segmento TCP                            || |o |
   | proto- | | destino,|                                         || |l |
   | colo,  | | etc)    +-----------------------------------------+| |a |
   | etc)   | +---------+------------------------------------------+ |  |
   +--------+--------------------------------------------------------+--+

Al procesarlo, pasa por las diferentes capas del stack TCP/IP, y cada una
de ellas extrae el contenido que le interesa y descarta el resto, o agrega
la cascara que le corresponde
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux