Setingan memakai interface GUI via Winbox.
Tambahkan IP Client dan Mac Address di ‘/ip arp’, biasanya, di menu ip arp
tersebut telah ada Interface, mac address dan ip address client secara dinamis,
tinggal di Statis kan
saja. Di Winbox klik kanan, ambil Make Statik.
Setelah IP address dan Mac Address client tersebut di statiskan, sekarang ke menu Interface. Pada Terminal ‘/interface’.
Pada submenu Interface List, Klik aja Interface yang ada disitu. Perhatikan di bagian ARP. Ambil option, reply-only, atau arp=reply-only.
Untuk mainin di Firewall silahkan telaah script berikut.
/ ip firewall filter
add chain=forward action=drop src-address=x.x.x.x \
src-mac-address=!yy:yy:yy:yy:yy:yy comment=”" disabled=no
Di Linux dengan menggunakan IP tables/ ip firewall filter
add chain=forward action=drop src-address=!x.x.x.x \
src-mac-address=yy:yy:yy:yy:yy:yy comment=”" disabled=no
Skrip berikut di tulis via Bash di Linux, yang sudah mendukung untuk banyak Client (Mac dan IP Address).
Berikut langkah-langkahnya :
- Buat file bernama rc.iplock didalam directory /etc/rc.d/ dengan isi sebagai berikut:
2. Buat file bernama list.txt didalam directory /etc/rc.d/ dengan format penulisan sebagai berikut :#!/bin/bash# Bash script Lock IP Address dan MAC Address
iptables=”/sbin/iptables” #path ke iptablesfiles=”/etc/rc.d/list.txt” #path ke list IP Address dan MAC Addressdevice=”eth1″ #ethernet devices ke clientlockall=”yes” #yes|no ,yes jika mendaftarkan semua IP & MAC Address#jika tidak, tulis no.#yes untuk metode pertama, no untuk metode kedua
if [ $lockall = "yes" ]; then$iptables -I PREROUTING -t nat -i $device -j DROPcat $files | while read ip_address mac_address; do$iptables -I PREROUTING -t nat -i $devices -s $ip_address-m mac –mac-source $mac_address -j ACCEPT$iptables -I FORWARD -i $device -s ! $ip_address-m mac –mac-source $mac_address -j DROP$iptables -I PREROUTING -t nat -s ! $ip_address-m mac –mac-source $mac_address -j DROPdoneelif [ $lockall = “no” ]; then$iptables -I PREROUTING -t nat -i $device -j ACCEPTcat $files | while read ip_address mac_address; do$iptables -I FORWARD -i $device -s ! $ip_address-m mac –mac-source $mac_address -j DROP$iptables -I PREROUTING -t nat -s ! $ip_address-m mac –mac-source $mac_address -j DROPdonefi
echo “Locking IP Address and Mac Address…” #end script
Peringatan!! Jangan tambahkan baris apapun atau kalimat apapun selain format diatas!
Contoh isi file /etc/rc.d/list.txt untuk 3 client:
192.168.1.5 00:89:CD:64:01:EF
192.168.1.20 00:90:DD:14:11:CF
192.168.1.14 00:40:EE:21:26:GE
3. Set file rc.iplock agar dapat di eksekusi :
chmod +x /etc/rc.d/rc.iplock
4. Tambahkan didalam file /etc/rc.d/rc.local agar dapat di eksekusi pada saat start up :
/etc/rc.d/rc.iplock
5. Jalankan :
/etc/rc.d/rc.iplock
6. Selesai!
————————-
- add the -s a.b.c.d -m mac –mac aa:bb:cc:dd:ee:ff to each rule which you only want to match a specific machine
- or
- b) put all your rules into a user-defined chain, and then jump to that chain only for packets which match the required IP/MAC combination:
iptables -N myrules
iptables -A myrules -p tcp –dport 21 -j ACCEPT
iptables -A myrules -p tcp –dport 23 -j ACCEPT
etc
iptables -A INPUT -s a.b.c.d -m mac –mac aa:bb:cc:dd:ee:ff -j myrules
With this design you can also easily allow more than one machine to connect if
you wish, by adding another INPUT rule:
iptables -A INPUT -s w.x.y.z -m mac –mac uu:vv:ww:xx:yy:zz -j myrules
Selamat mencoba,
Sumber asli http://mujie.blog.palangkaraya.net/
